游蚁网-正版游戏玩家社区 › 首页 ›资讯› 业界动态 › EA修复Origin平台漏洞能致攻击者掌握数亿用户信息

EA修复Origin平台漏洞能致攻击者掌握数亿用户信息

2019-6-30 06:29| 发布者: 梅野| 查看: 4350| 评论: 0|来自: 互联网

摘要: 近日有研究人员发现了来自美国艺电(EA)旗下Origin游戏平台中的漏洞，这些漏洞能让攻击者接管3亿用户的帐户。目前EA表示已经修复了该处纰漏。Origin是EA推出的一个类Steam的数字发行平台，由于它是在PC上获得新发行EA ...

近日有研究人员发现了来自美国艺电(EA)旗下Origin游戏平台中的漏洞，这些漏洞能让攻击者接管3亿用户的帐户。目前EA表示已经修复了该处纰漏。

EA修复Origin平台漏洞

Origin是EA推出的一个类Steam的数字发行平台，由于它是在PC上获得新发行EA游戏的唯一途径，所以它拥有不少的用户，据统计目前用户数量已经达到数百万。

此前Check Point和CyberInt的研究人员发现了一些Origin游戏平台的问题，他们的一个子域名被重定向到微软Azure云计算服务上的一个废弃主机，任何人都可以免费注册。这似乎是EA游戏公司的疏忽。

“通常，基于云的公司（如EA Games）提供的每项服务都在一个唯一的子域名地址上注册，例如eaplayinvite.ea.com，并且具有指向特定云供应商主机的DNS指针（A或CNAME记录），如下图，ea-invite-reg.azurewebsites.net，它在后台运行所需的服务，在这种情况下是一个Web应用程序服务器。“

EA修复Origin平台漏洞

由于它已不再使用，研究人员能够将“ea-invite-reg.azurewebsites.net”注册为Azure上自己的Web应用程序服务的名称。由于CNAME记录仍处于活动状态，研究人员通过“eaplayinvite.ea.com”收到了EA用户提出的所有请求。

EA修复Origin平台漏洞

虽然劫持子域名不足以导致帐户接管攻击，但它帮助研究人员寻找一种方式来利用这种访问方式，使黑客受益。该漏洞不需要用户移交任何登录详细信息，而是利用身份验证令牌以及EA游戏用户登录过程中内置的oAuth单点登录(SSO)和TRUST机制。攻击者可以利用一系列“漏洞”来攻击《FIFA》、《麦登橄榄球(Maden NFL)》、《NBA Live》、《UFC》、《模拟人生(The Sims)》以及《荣誉勋章(Medal of Honor)》等游戏玩家。