安全動(dòng)態(tài)

EA 宣布已修復(fù)影響 3 億玩家的 Origin 游戲服務(wù)漏洞

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-07-01    瀏覽次數(shù):
 

信息來(lái)源:hackernews

10b54d84fcb34fc

EA已經(jīng)修復(fù)了此前Origin游戲服務(wù)上曝光的一系列安全問(wèn)題,攻擊者可以利用這些漏洞控制用戶賬戶并獲取對(duì)個(gè)人數(shù)據(jù)的訪問(wèn)權(quán)限。EA承認(rèn)全球3億玩家面臨風(fēng)險(xiǎn) 以色列安全公司Check Point表示,攻擊者可以利用一系列“漏洞”來(lái)攻擊FIFA,Maden NFL,NBA Live,UFC,The Sims,Battlefield,命令與征服以及Medal of Honor等游戲。

Origin是EA推出的一個(gè)類Steam的數(shù)字發(fā)行平臺(tái),由于它是在PC上獲得新發(fā)行EA游戲的唯一途徑,所以它擁有不少的用戶,目前已經(jīng)達(dá)到數(shù)百萬(wàn)。

Check Point Research和CyberInt在此前發(fā)布的一份報(bào)告中指出,這個(gè)漏洞可能已經(jīng)影響到來(lái)自世界各地多達(dá)3億的原始用戶。該漏洞允許黑客可以無(wú)需先盜取登錄憑證的情況下就能劫持原始賬戶。他們可以通過(guò)使用廢棄的子域名竊取身份驗(yàn)證令牌并利用OAuth單點(diǎn)登錄和EA登錄系統(tǒng)內(nèi)置的信任機(jī)制來(lái)訪問(wèn)這些帳戶。

視頻來(lái)源:https://player.youku.com/embed/XNDI0NDk2OTk3Ng==

今年早些時(shí)候,Check Point在《堡壘之夜》中發(fā)現(xiàn)了類似漏洞。實(shí)際上,這種攻擊利用了EA的微軟Azure帳戶中廢棄的子域名,然后以此創(chuàng)建看似合法的網(wǎng)絡(luò)釣魚(yú)鏈接。一旦受害者點(diǎn)擊了該鏈接,Check Point和CyberInt就可以得到他們的認(rèn)證令牌并劫持其賬戶,而無(wú)需登錄電子郵件或密碼。

 
 

上一篇:2019年06月29日 聚銘安全速遞

下一篇:工信部:我國(guó)軟件產(chǎn)業(yè)市場(chǎng)迎來(lái)從量的增長(zhǎng)轉(zhuǎn)向質(zhì)的提升的新階段