Um pesquisador de segurança brasileiro descobriu três vulnerabilidades na plataforma Microsoft Store, voltada para a compra de aplicativos e jogos, que permitem desde geração de notas fiscais frias até o aumento fraudulento de dinheiro na própria conta.
O pesquisador Marlon Fabiano, também conhecido pelo nick “Astrounder”, é um ‘velho conhecido’ da comunidade Microsoft. Em agosto de 2020, ele descobriu uma vulnerabilidade na plataforma de assinatura Xbox Live que permitia que qualquer pessoa registrasse as assinaturas do Xboxlive, Gamepass e Gamepass Ultimate gratuitamente.
As vulnerabilidades
O primeiro bug permite que um agente malicioso gere Notas Fiscais de jogos do Xbox mesmo que a compra não seja realizada. Essa vulnerabilidade pode ser usada por um golpista para ganhar dinheiro por meio de perdas financeiras da Microsoft.
Dinheiro infinito
Outra vulnerabilidade encontrada pelo pesquisador permite roubar uma boa grana da Microsoft. Basicamente, o bug consiste em criar uma confusão online com uma suposta compra e, ao notar o problema com o cliente, a Microsoft costuma enviar um “mimo” de R$ 27. A falha permite abusar desse esquema para receber diversos “mimos”.
Outro ponto importante é que não existe segregação nas lojas da Microsoft Store e Xbox. Sendo assim, caso seja adicionado um bom valor a conta do usuário, além dos jogos este usuário poderá comprar licenças do Windows, Office 365, mouses, notebooks etc.
Comprando ouro e pagando bronze
A terceira e última vulnerabilidade segue a mesma lógica das anteriores. Dessa vez, ela permite que um usuário mal intencionado compre jogos e apps na versão Ultimate/Deluxe e pague o valor da versão Standard. Ou seja: seleciona a versão mais cara possível e paga pela mais barata possível.
Fonte: TECMUNDO