Xbox Game Pass gratis a vita? Sembrerebbe possibile

L'Xbox Game Pass è senza dubbio uno dei servizi in abbonamento più amati e di successo nel mondo del gaming, con un catalogo di centinaia di giochi a disposizione di milioni di utenti. Tale servizio tuttavia, parrebbe soffrire di una falla logica nel sistema di gestione degli abbonamenti che, se sfruttata, permetterebbe di usufruire del servizio in modo quasi illimitato e completamente gratuito. Una scoperta sorprendente, che assume i contorni di un caso emblematico sulla responsabilità aziendale, specialmente dopo aver appreso che Microsoft era stata informata del problema da un ricercatore sul portale Microsoft Security Response Center (submission number VULN-161061) all'interno del quale, la stessa, ha scelto di non considerarlo una minaccia.

Dettagli sull'anomalia segnalata dal ricercatore

Il meccanismo, che abbiamo potuto analizzare grazie alle informazioni fornite dallo stesso ricercatore italiano, si basa su una falla logica nel processo di cancellazione e rimborso dell'abbonamento. La procedura sembrerebbe essere la seguente:

1. Un utente sottoscrive un normale abbonamento mensile all'Xbox Game Pass.
2. Successivamente, dopo aver usufruito del servizio per gran parte del mese (ad esempio 16 giorni dopo), l'utente procede con la richiesta di annullamento direttamente dalla propria area di gestione delle sottoscrizioni.
3. A questo punto, il sistema di Microsoft proporrà due opzioni, tra cui quella incriminata di terminare l'abbonamento immediatamente ricevendo un rimborso completo.

È proprio questa seconda opzione a rappresentare il cuore del problema. Anziché rimborsare solo i pochi giorni di servizio non goduto, il sistema restituisce l'intera quota mensile. L'utente, di fatto, ha giocato per quasi un mese intero senza spendere un centesimo. Questo processo potrebbe essere ripetuto ciclicamente, garantendo un accesso pressoché perpetuo al catalogo Game Pass.

La segnalazione a Microsoft e la risposta che spiazza

Consapevole della gravità dell'apparente falla e del potenziale danno economico per Microsoft, dal momento che tale servizio vanta oltre 35 milioni di utenti in tutto il mondo, il ricercatore ha seguito la procedura standard di "Responsible disclosure", segnalando il tutto al Microsoft Security Response Center (MSRC), l'ente preposto a raccogliere e gestire le vulnerabilità di sicurezza. La risposta di MSRC alla segnalazione in questione (submission number VULN-161061), tuttavia, è stata tanto rapida quanto deludente. In una comunicazione ufficiale, il team di sicurezza di Microsoft ha chiuso la segnalazione con la seguente motivazione:

"Sebbene la sua segnalazione includesse buone informazioni, non soddisfa i requisiti di Microsoft per essere considerata una vulnerabilità di sicurezza, poiché un utente malintenzionato non è in grado di utilizzarla contro un altro utente da remoto. Questo è un problema legato a frode piuttosto che una vulnerabilità di sicurezza".

Sembrerebbe quindi che Microsoft abbia volutamente declassato una potenziale falla milionaria a un semplice "problema di frode", invitando il segnalatore a rivolgersi al generico supporto di Xbox piuttosto che investigare e rendere noto se tali meccaniche siano effettivamente previste.

Il nostro invito a non sottovalutare queste segnalazioni

La decisione di MSRC è cruciale. Rifiutandosi di classificare il problema come una vulnerabilità di sicurezza e indirizzando la questione verso canali di supporto non specializzati, Microsoft ha di fatto comunicato di non ritenere il problema una priorità critica per la sicurezza dei suoi sistemi. Questa presa di posizione, secondo le etiche della comunità di ricerca, svincola il segnalatore dall'obbligo di segretezza. Se il produttore non riconosce la gravità di una falla, informare il pubblico diventa un atto lecito e spesso utile per esercitare una pressione sull'azienda affinché risolva problemi che, evidentemente, ledono la sua stessa economia ed il futuro di uno dei loro servizi di certo molto apprezzato da tutti. Al momento della stesura di questo articolo, l'anomalia parrebbe essere ancora funzionante. Resta da vedere quindi se, le attuali meccaniche di sospensione di un abbonamento, sono state effettivamente previste da Microsoft. In ogni caso, ci piacerebbe conoscere il loro parere in merito a questa controversa vicenda.