EA：已修復影響3億玩家的Origin游戲服務漏洞

IT之家6月30日消息 不久前，安全研究人員發(fā)現(xiàn)了來自Electronic Arts（EA）的Origin游戲平臺中的漏洞，這些漏洞本可以讓攻擊者接管多達3億用戶的帳戶。目前EA表示已經(jīng)修復了該問題。

此前Check Point  和CyberInt的研究人員發(fā)現(xiàn)了一些Origin游戲平臺的問題，他們的一個子域名被重定向到微軟Azure云計算服務上的一個廢棄主機，任何人都可以免費注冊。這似乎是EA游戲公司的疏忽。

“通常，基于云的公司（如EA Games）提供的每項服務都在一個唯一的子域名地址上注冊，例如eaplayinvite.ea.com，并且具有指向特定云供應商主機的DNS指針（A或CNAME記錄） ，如下圖，ea-invite-reg.azurewebsites.net，它在后臺運行所需的服務，在這種情況下是一個Web應用程序服務器?！?/p>

由于它已不再使用，研究人員能夠將“ea-invite-reg.azurewebsites.net”注冊為Azure上自己的Web應用程序服務的名稱。由于CNAME記錄仍處于活動狀態(tài)，研究人員通過“eaplayinvite.ea.com”收到了EA用戶提出的所有請求。

雖然劫持子域名不足以導致帳戶接管攻擊，但它幫助研究人員尋找一種方式來利用這種訪問方式，使黑客受益。該漏洞不需要用戶移交任何登錄詳細信息，而是利用身份驗證令牌以及EA游戲用戶登錄過程中內(nèi)置的oAuth單點登錄（SSO）和TRUST機制。攻擊者可以利用一系列“漏洞”來攻擊FIFA，Maden NFL，NBA Live，UFC，模擬人生以及榮譽勛章等游戲玩家。

廣告聲明：文內(nèi)含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。