EA 是全球第二大游戲公司,旗下?lián)碛卸嗫钪彝ビ螒颍?《FIFA》、《麥登橄欖球》、《NBA Live》、《UFC》、《模擬市民》、《戰(zhàn)地風(fēng)云》、《終極動(dòng)員令》以及《榮譽(yù)勛章》等。這些游戲都使用 Origin 客戶端游戲平臺(tái),允許用戶在 個(gè)人電腦和移動(dòng)設(shè)備上購(gòu)買(mǎi)和暢玩 EA 游戲。Origin 包含社交特性,例如個(gè)人資料管理、好友聊天以及直接加入游戲。它還與 Facebook、Xbox Live、PlayStation Network 和 Nintendo Network 等網(wǎng)站進(jìn)行了社區(qū)集成。
CyberInt 和 Check Point 研究人員遵循協(xié)調(diào)漏洞披露實(shí)踐負(fù)責(zé)任地披露了 EA 的漏洞,以便 EA 在攻擊者利用這些漏洞之前修復(fù)漏洞并推出更新。他們結(jié)合自身的專業(yè)知識(shí)來(lái)支持 EA 開(kāi)發(fā)修復(fù)軟件,以進(jìn)一步加強(qiáng)對(duì)游戲社區(qū)的保護(hù)。EA 修復(fù)的漏洞可允許攻擊者劫持玩家會(huì)話,攻擊和接管玩家賬戶。
美國(guó)藝電公司(EA)游戲和平臺(tái)安全高級(jí)總監(jiān) Adrian Stone 表示:“保護(hù)游戲玩家的安全是我們的首要任務(wù)。”“CyberInt 和 Check Point 報(bào)告漏洞后,我們立即啟動(dòng)了產(chǎn)品安全響應(yīng)流程來(lái)修復(fù)報(bào)告的問(wèn)題。按照“協(xié)調(diào)漏洞披露”的原則攜手合作可加強(qiáng)我們與更廣泛的網(wǎng)絡(luò)安全社區(qū)的關(guān)系,是保護(hù)我們游戲玩家不受侵害的重要舉措。”
EA 平臺(tái)中發(fā)現(xiàn)的漏洞并不要求用戶提交任何登錄詳細(xì)信息。相反,它是利用廢棄的子域名和 EA 游戲使用的身份驗(yàn)證令牌以及內(nèi)置于 EA 游戲用戶登錄過(guò)程中的 OAuth 單點(diǎn)登錄 (SSO) 和 TRUST 機(jī)制。
Check Point 產(chǎn)品漏洞研究負(fù)責(zé)人 Oded Vanunu 表示:“EA 的 Origin 平臺(tái)非常受歡迎;這些漏洞如不及時(shí)修復(fù),黑客將能夠劫持和利用數(shù)百萬(wàn)用戶的帳戶。“我們近日還在 Epic Games 的 Fortnite 游戲平臺(tái)中發(fā)現(xiàn)了安全漏洞,這些漏洞表明云應(yīng)用極易遭受攻擊和破壞。這些平臺(tái)擁有大量的敏感客戶數(shù)據(jù),因此,為越來(lái)越多的黑客所窺伺。”
CyberInt Technologies 聯(lián)合創(chuàng)始人兼戰(zhàn)略部高級(jí)副總裁 Itay Yanovski 表示:“CyberInt 提供連續(xù)的自動(dòng)化早期檢測(cè),從攻擊者的角度思考如何幫助公司主動(dòng)采取措施來(lái)保護(hù)其客戶和業(yè)務(wù)。”“游戲產(chǎn)品往往在暗網(wǎng)中的官方和非官方市場(chǎng)上交易,這使得對(duì)游戲工作室的攻擊非常有利可圖。我們認(rèn)為網(wǎng)絡(luò)安全行業(yè)有責(zé)任保護(hù)用戶安全,我們旨在通過(guò)對(duì)新發(fā)現(xiàn)的攻擊活動(dòng)(例如最近的 TA505)展開(kāi)以威脅為中心的安全研究,為行業(yè)敲響安全警鐘,確保企業(yè)采取最有效的檢測(cè)和響應(yīng)措施。
Check Point 和 CyberInt 強(qiáng)烈建議用戶啟用雙因素身份驗(yàn)證,并只在官方網(wǎng)站上下載或購(gòu)買(mǎi)游戲。與此同時(shí),家長(zhǎng)也應(yīng)讓孩子們意識(shí)到網(wǎng)絡(luò)欺詐的威脅,并警告他們網(wǎng)絡(luò)犯罪分子會(huì)不擇手段地獲取玩家在線賬戶中的個(gè)人和財(cái)務(wù)信息。Check Point 和 CyberInt 建議游戲玩家在收到來(lái)自未知來(lái)源的鏈接時(shí)始終保持警惕。
有關(guān)該漏洞的完整技術(shù)分析,請(qǐng)參見(jiàn) Check Point Research 博客(點(diǎn)擊此處)。
