Falha na Microsoft permite que usuário adicione dinheiro na própria conta
Problema foi relatado por hacker, mas empresa o baniu da plataforma
Foto: Reprodução
Um pesquisador de segurança brasileiro, Marlon Fabiano, conhecido como "Astrounder", é um conhecido da Microsoft e descobriu três vulnerabilidades na plataforma Microsoft Store, que é voltada para compra de aplicativos e jogos, que permitem geração de notas fiscais e fraude de dinheiro na própria conta.
Em agosto de 2020, ele descobriu um problema na plataforma de assinatura Xbox Live que permitia que qualquer pessoa registrasse as assinaturas do Xboxlive, Gamepass e Gamepass Ultimate gratuitamente.
Ao ser alertado pela TecMudo, a Microsoft informou que foram revisados os relatórios e informações "não encontramos vulnerabilidades de segurança. Incentivamos o pesquisador a entrar em contato com o Microsoft Security Response Center com informações adicionais para que possamos avaliar quaisquer reclamações e tomar as medidas necessárias”.
O pesquisador também entrou em contato com a empresa, mas não foi atendido. Mas, semanas após as vulnerabilidades foram corrigidas, porém, Marlon teve sua conta bloqueada, em um movimento contrário realizado pela equipe da Microsoft.
Sobre as vulnerabilidades
O primeiro bug permite que um agente malicioso gere Notas Fiscais de jogos do Xbox mesmo que a compra não seja realizada. Essa vulnerabilidade pode ser usada por um golpista para ganhar dinheiro por meio de perdas financeiras da Microsoft.
Em São Paulo, por exemplo, existe o programa “Nota Fiscal Paulista”: o consumidor resgata parte do valor pago em produtos/serviços em imposto. Ou seja, um invasor poderia levantar uma grana por meio desse bug com notas fiscais fraudulentas.
Outra vulnerabilidade encontrada pelo pesquisador permite roubar uma boa grana da Microsoft. Basicamente, o bug consiste em criar uma confusão online com uma suposta compra e, ao notar o problema com o cliente, a Microsoft costuma enviar um “mimo” de R$ 27. A falha permite abusar desse esquema para receber diversos “mimos”.
“Caso o usuário, mesmo depois de receber a Nota Fiscal, ainda não tenha recebido o jogo, o valor da compra será estornado para o cartão de crédito cadastrado. Porém como não temos cartão válido para o estorno, não recebemos o valor de volta. Então, para amenizar toda essa confusão com a compra e para agradar seu cliente, a Microsoft envia um “mimo” de R$ 27,00”.
Fabiano também pontua que não existe segregação nas lojas da Microsoft Store e Xbox. Sendo assim, caso seja adicionado um bom valor a conta do usuário, além dos jogos este usuário poderá comprar licenças do Windows, Office 365, mouses, notebooks etc.
Marlon Fabiano agiu como um hacker ético: encontrou a falha, fez um report sem erros para a empresa responsável. A Microsoft inicialmente negou a falha, corrigiu mesmo assim e ainda baniu a conta de Fabiano. Para o TecMundo, o pesquisador deveria ser recompensado, não acuado.
