EA Origin漏洞可能会使3亿用户受到攻击

安全研究人员发现了电子艺界(EA)Origin PC游戏客户端中可能存在3亿全球用户影响的一系列漏洞。Check Point Research和Cyber​​Int发现了可能导致攻击者破坏玩家会话并完全接管Origin帐户但未获得任何登录凭据的漏洞。

Origin是周围最大的PC游戏客户之一，其名册上包括FIFA，Madden，Battlefield，The Sims和Star Wars Battlefront等大片。它有3亿全球用户可能容易受到攻击。

这些问题现已得到修补，没有证据表明它们曾被攻击者利用过。恶意演员可以利用废弃的子域名和EA Games使用身份验证令牌以及EA Game用户登录过程中内置的OAuth单点登录(SSO)和TRUST机制。

“EA的Origin平台非常受欢迎;如果没有打补丁，这些漏洞将使黑客能够劫持和利用数百万用户的账户，”Check Point产品漏洞研究主管Oded Vanunu说。“除了我们最近在Epic Games for Fortnite使用的平台中发现的漏洞外，这还显示了在线和云应用程序对攻击和破坏的敏感程度。研究人员能够向EA展示如何利用这些互连系统导致帐户泄露，而无需用户交付登录凭据。

“由于他们拥有大量敏感的客户数据，这些平台越来越成为黑客的目标，”他补充道。

根据Cyber​​Int的联合创始人兼SVP战略Itay Yanovski的说法，对游戏客户和市场的攻击是最有利可图的。这是因为来自大量客户群的敏感细节可以在黑暗的网络市场上买卖，并用于犯罪活动。

“保护我们的玩家是我们的首要任务，”Electronic Arts游戏和平台安全高级总监Adrian Stone说。“由于Cyber​​Int和Check Point的报告，我们采用了产品安全响应流程来修复报告的问题。

“在协调漏洞披露的宗旨下共同努力，加强了我们与更广泛的网络安全社区的关系，是确保我们的球员保持安全的关键部分。”