Falha na Xbox Live permitiu assinaturas por 12 meses grátis

Uma falha na plataforma de assinaturas do Xbox Live, da Microsoft, permitiu que qualquer pessoa se registrasse no Xboxlive, Gamepass e Gamepass Ultimate gratuitamente. O custo mensal para os jogos online varia entre R$ 149 e R$ 39,99.

A vulnerabilidade foi relatada pelo pesquisador de segurança da Conviso, Marlon Fabiano.  Anteriormente, astrounder teve sucesso ao relatar uma falha para a Microsoft que envolvia a compra de produtos, também sem pagar por isso, na loja da empresa. O pesquisador foi bonificado via programa de Bug Bounty em US$ 10 mil.

Ele explicou que a falha foi explorada "através da mudança e falta de controle na sandbox. O XboxOne possui um modo de desenvolvedor que permite algumas interações diferentes dos consoles em retail. Quando um console está no Dev Mode, é possível alterar a sandbox atual para interagir com algumas funcionalidades que só deveriam estar disponíveis aos donos daquelas sandboxes. Com o aplicativo "Developer Mode activation", é possível alterar as sandboxes do console ou em alguns casos também é possível ir até o menu do Xbox em Settings > System > Informação do Console e pressionar as teclas LB + RB + LT + RT."

Marlon ainda relatou, que ao levar os detalhes técnicos para a Microsoft, a empresa informou que com as provas em mãos, o pesquisador de segurança levou os detalhes técnicos para a Microsoft. A empresa informou que "não existia esse crossover de assinaturas dos ambientes de Retail e Dev, porém não sabiam explicar como eu havia logado nas sandboxes listadas. Mesmo assim eles informaram que a vulnerabilidade reportada não se tratava de uma falha de segurança e encerraram o caso."

A falha só foi corrigida após uma publicação no Twitter para que a Microsoft corrigisse a vulnerabilidade. Não é mais possível assinar a Live gratuitamente.