网路安全公司:EA Origion平台存在一系列重大漏洞个资恐外泄
Check Point Software Technologies 的威胁情报部门Check Point Research,今(7/1)日发表在美商艺电(Electronic Arts; EA)旗下的游戏平台Origin中发现了一系列漏洞,攻击者可透过这些漏洞来盗取玩家的帐户及身份。
作为全球第二大的游戏公司,EA旗下拥有,包括《国际足盟大赛FIFA》、《劲爆美式足球Madden NFL》、《NBA Live》、《模拟市民》、《战地风云》等多款知名家用游戏,而这些游戏都使用Origin游戏平台,允许玩家在个人电脑和行动装置上购买及畅玩EA游戏。Origin除了包含如个人资料管理、好友聊天联系及立即加入游戏等网路社群功能,还与Facebook、Xbox Live、PlayStation Network和任天堂(Nintendo Network)等平台进行了社群整合。
CyberInt和Check Point研究人员遵循协调的漏洞揭露原则,公布了EA的漏洞,让EA能在攻击者利用这些漏洞之前进行修复并推出更新,这些漏洞包含允许攻击者拦截玩家进度,进而入侵和接管玩家帐户。
EA游戏及平台安全资深总监Adrian Stone表示:「保护玩家的安全是我们的首要任务。根据CyberInt和Check Point的报告,我们启动了产品安全回应流程来修复报告中的问题。遵循协调的漏洞揭露原则,未来更将广泛的与网路安全社群携手合作以强化彼此的关系,来保护EA游戏玩家免于恶意攻击。」
EA平台中发现的漏洞未要求用户提交任何登录的详细资讯。相反地,它是利用废弃的子功能变数名称和EA游戏使用的身份验证权限,结合内建于EA用户登录过程中的OAuth单一登录(SSO)和 TRUST机制制造漏洞。
Check Point产品漏洞研究主管Oded Vanunu表示:「EA Origin平台非常受欢迎,若这些漏洞不即时修复,骇客将拦截和利用数百万用户的帐户;我们近期也在Epic Games的《要塞英雄》游戏平台中发现漏洞,证明了云端应用极易遭受攻击和破坏。拥有大量敏感用户资料的这些平台,也成为越来越多骇客的攻击目标。」
CyberInt Technologies共同创办人兼策略资深副总裁Itay Yanovski表示:「CyberInt提供不间断、自动化的前期监测,从攻击者的角度思考,如何帮助企业主动采取措施保护其客户和业务。游戏产品往往在暗网中的官方和非官方市场上进行交易,因此攻击游戏工作室的获利极为丰厚。我们认为网路安全产业有责任保护用户,透过对新发现的攻击活动(如最近的TA505)展开以威胁为中心的安全研究,为产业敲响安全警钟,确保企业采取最有效的检测和防御缓解措施。」
Check Point和CyberInt强烈建议用户启用双重因素身份验证,只在官方网站下载或购买游戏,并对于未知来源的连结始终保持警惕。此外,家长也应让孩子意识到网路诈骗的威胁,并警告他们网路犯罪分子会不择手段地获取玩家线上帐户中的个人和财务资讯。