Falha na Microsoft permite usuário adicionar dinheiro na própria conta

Um pesquisador de segurança brasileiro descobriu três vulnerabilidades na plataforma Microsoft Store, voltada para a compra de aplicativos e jogos, que permitem desde geração de notas fiscais frias até o aumento fraudulento de dinheiro na própria conta.  

O pesquisador Marlon Fabiano, também conhecido pelo nick “Astrounder”, é um ‘velho conhecido’ da comunidade Microsoft. Em agosto de 2020, ele descobriu uma vulnerabilidade na plataforma de assinatura Xbox Live que permitia que qualquer pessoa registrasse as assinaturas do Xboxlive, Gamepass e Gamepass Ultimate gratuitamente.

A Microsoft negou as vulnerabilidades, mas elas foram corrigidas na sequência

A Microsoft foi alertada pelo TecMundo sobre as novas vulnerabilidades e respondeu: “Revisamos os relatórios e as informações que recebemos e não encontramos vulnerabilidades de segurança. Incentivamos o pesquisador a entrar em contato com o Microsoft Security Response Center com informações adicionais para que possamos avaliar quaisquer reclamações e tomar as medidas necessárias”.

O pesquisador entrou em contato com a Microsoft previamente e não foi atendido. Semanas após o contato do TecMundo com a empresa, as vulnerabilidades foram corrigidas e Marlon Fabiano ainda teve sua conta bloqueada, em um movimento completamente desmedido realizado pela equipe responsável da Microsoft.

Microsoft Store

As vulnerabilidades

O primeiro bug permite que um agente malicioso gere Notas Fiscais de jogos do Xbox mesmo que a compra não seja realizada. Essa vulnerabilidade pode ser usada por um golpista para ganhar dinheiro por meio de perdas financeiras da Microsoft.  

O Xbox pagará o valor do imposto do jogo vendido e o golpista poderá lucrar até 30%

Em São Paulo, por exemplo, existe o programa “Nota Fiscal Paulista”: o consumidor resgata parte do valor pago em produtos/serviços em imposto. Ou seja, um invasor poderia levantar uma grana por meio desse bug com notas fiscais fraudulentas.

“Como a Microsoft Store gera NFs sem nenhum tipo de controle, é possível tentar realizar a compra de jogos em pré-venda sem pagar por eles e mesmo quando as licenças dos jogos são revogadas por falta de pagamento, o golpista receberá a fatura do jogo como se tivesse realizado a compra”, disse Marlon Fabiano. “E com isso o Xbox pagará o valor do imposto do jogo vendido e o golpista poderá lucrar até 30% do valor do ICMS”.

Parte do processo

Dinheiro infinito

Outra vulnerabilidade encontrada pelo pesquisador permite roubar uma boa grana da Microsoft. Basicamente, o bug consiste em criar uma confusão online com uma suposta compra e, ao notar o problema com o cliente, a Microsoft costuma enviar um “mimo” de R$ 27. A falha permite abusar desse esquema para receber diversos “mimos”.

“Continuando a mesma reprodução do bug anterior: quando recebemos as Notas Fiscais dos jogos comprados, mas não recebemos o jogo comprado, existe uma janela que você poderá jogar os jogos comprados com o bug de 1-3 dias depois do seu lançamento. Depois disso a licença do jogo será revogada e você não poderá jogá-lo mais. Com isso, há um algum processo que faz a validação para identificar se o usuário que recebeu a nota fiscal também recebeu o jogo”, explica o pesquisador.

Um agente malicioso poderia criar várias contas, adicionar dinheiro na carteira dessas contas e revender os jogos

“Caso o usuário, mesmo depois de receber a Nota Fiscal, ainda não tenha recebido o jogo, o valor da compra será estornado para o cartão de crédito cadastrado. Porém como não temos cartão válido para o estorno, não recebemos o valor de volta. Então, para amenizar toda essa confusão com a compra e para agradar seu cliente, a Microsoft envia um “mimo” de R$ 27,00”.

O pesquisador prova que é possível, de maneira “paciente”, executar várias vezes esse processo para receber dinheiro de reembolso. Um agente malicioso poderia criar várias contas, adicionar dinheiro na carteira dessas contas e revender os jogos da loja. “Como existe a opção de comprar o jogo como presente, os jogos poderiam ser enviados a qualquer usuário do Xbox Live”, afirma.

Outro ponto importante é que não existe segregação nas lojas da Microsoft Store e Xbox. Sendo assim, caso seja adicionado um bom valor a conta do usuário, além dos jogos este usuário poderá comprar licenças do Windows, Office 365, mouses, notebooks etc.  

Parte do processo

Comprando ouro e pagando bronze

A terceira e última vulnerabilidade segue a mesma lógica das anteriores. Dessa vez, ela permite que um usuário mal intencionado compre jogos e apps na versão Ultimate/Deluxe e pague o valor da versão Standard. Ou seja: seleciona a versão mais cara possível e paga pela mais barata possível.

“Siga os mesmos passos que usamos para gerar as notas fiscais sem pagar pelo jogo. A diferença é que nesse caso devemos escolher a versão mais cara do jogo. Realizando o teste no jogo Watch Dogs Legion no qual a edição Standard custa R$ 279,95 e a edição Ultimate custa R$ 459.95. Compramos o jogo edição Ultimate com um cartão inválido e quando este jogo for lançado teremos a licença revogada. E se tentarmos jogá-lo depois do seu lançamento receberemos a mensagem que o jogo deve ser comprado novamente”, explica Fabiano que continua:  

Isso nos dá uma economia e prejuízo para a Microsoft/Ubisoft de R$ 180,00

“O problema é que a Xbox revoga apenas a licença do jogo e não a licença dos conteúdos premium, Season Pass, DLCs, etc. Então nesse caso apesar de não termos mais a licença do jogo base, ainda temos a licença de todo o resto do conteúdo premium. Agora para usufruir do jogo edição Ultimate (valor R$ 459,95), precisamos apenas comprar a versão standard do jogo pagando os R$ 279,95. Isso nos dá uma economia e prejuízo para a Microsoft/Ubisoft de R$ 180,00”.

Este último processo foi entregue com mais detalhes, visto que a Microsoft afirmou que não há vulnerabilidade — e mesmo assim ter corrigido a falha no processo.

Marlon Fabiano agiu como um hacker ético: encontrou a falha, fez um report sem erros para a empresa responsável, e só após meses sem resposta entrou em contato com o TecMundo. De modo diferente de como as empresas vem olhando para a cibersegurança recentemente, a Microsoft negou a falha, corrigiu mesmo assim e ainda baniu a conta de Fabiano. O pesquisador deveria ser recompensado, não acuado.

Parte do processo

Como fazer denúncias

O TecMundo apoia o trabalho de hackers éticos. Entre em contato nos seguintes canais:

• felipepayao@protonmail.com
• denuncia@tecmundo.com.br