Новости Интернет Сообщества

Уязвимость EA Origin поставила под угрозу 300 миллионов аккаунтов игроков

Несколько серьезных недостатков безопасности в играх компании Electronic Arts могли позволить потенциальным злоумышленникам захватить миллионы учетных записей. Уязвимости EA Origin, как обнаружили исследователи, потенциально рисковали 300 миллионами учетных записей. После использования плохим актером они могут позволить массовые захваты учетных записей без необходимости кражи учетных данных для входа в систему.

Обнаружено несколько уязвимостей источника EA

Исследователи из Check Point Research вместе с CyberInt указали на некоторые серьезные недостатки безопасности, нацеленные на Игры игрового гиганта EA. Эти уязвимости EA Origin поставили под угрозу безопасность более 300 миллионов игроков этой платформы. Они поделились подробностями ошибок и связанных с ними опасностей в блоге.

Как сообщалось, исследователи обнаружили цепочку уязвимостей, которые могут позволить злоумышленнику захватить зарегистрированные сеансы учетной записи, используя токены аутентификации. Потенциальный злоумышленник может просто обмануть пользователей, отправив вредоносную ссылку с поддоменом EA. Поскольку ссылка будет казаться законной, жертва затем нажмет на нее, чтобы стать жертвой уловки злоумышленника. Следовательно, злоумышленник получит явный доступ к учетной записи жертвы. Злоумышленник мог даже совершать покупки через карту жертвы.

Объясняя об этой вредоносной ссылке, исследователи заявили,

Однако из-за неправильной настройки облачной платформы Azure EA изменила ea-invite-reg-azurewebsites.net “CNAME записывает, чтобы субдомен,” eaplayinvite.com – больше не указываk на него. Это означало, что … eaplayinvite.ea.com – теперь ведет к “мертвой” связи.

Исследователи могли бы легко взять на себя этот поддомен, показывая, насколько легко это будет для плохого актера. Они продемонстрировали весь метод атаки в следующем видео. Принимая во внимание, что они также отдельно объяснили технические аспекты уязвимостей в сообщении .

EA Games исправила недостаток

Получив отчеты от исследователей, EA Games быстро исправила недостатки. Следовательно, учетные записи теперь остаются защищенными от таких атак. Тем не менее, существование таких уязвимостей на популярных платформах, несмотря на предыдущие сообщения, вызывает тревогу. В январе Check Point Research сообщила о подобной проблеме, нацеленной на Fortnite, которая может позволить массовые взломы учетных записей.

Комментируя такое поведение фирм, ANURAG Kahol, технический директор и соучредитель Bitglass, сказал

Когда люди создают профили на веб-сайтах, они должны быть уверены, что их учетные записи не будут взломаны. Хотя никакие учетные данные не были пропущены, и никакая личная информация не была украдена хакерами через уязвимость EA, 300 миллионов потребителей могли бы иметь свои учетные записи и свои данные, если бы исследователи не обнаружили проблему и не вмешались. Несмотря на этот конкретный сценарий, компании не могут полагаться на третьи стороны для поиска и устранения проблем безопасности в своих системах. Таким образом, организации должны применять более активный подход к защите личной информации и учетных записей клиентов.

Кроме того, Джонатан Бенсен, CISO, Balbix, подчеркнул, как кибербезопасность стала проблемой для большинства фирм. Как он сказал,

Цифровая трансформация способствовала экспоненциальному увеличению размера поверхности атаки предприятия. Корпоративные группы безопасности часто перегружены горной задачей следить за сотнями тысяч цифровых активов, подключенных к сети их организации. Более того, 51 процент организаций сообщают о проблемной нехватке навыков кибербезопасности, согласно ежегодному опросу ESG. Поскольку кража данных и кибератаки представляют серьезную угрозу для компаний по всему миру, организации должны принять надежное решение, которое может помочь корпоративным командам безопасности в активном выявлении уязвимостей, которые могут привести к раскрытию данных. Несоблюдение безопасности данных может привести к судебным искам и штрафам в соответствии с правилами конфиденциальности данных. Например, в GDPR штрафы могут составлять 4 процента от годового мирового оборота.

“ИИ может быть решением’, – говорит Джонатан Бенсен

Бенсен рекомендует использовать искусственный интеллект для решения проблем кибербезопасности.

ИИ быстро завоевал интерес как ценный подход, который может помочь командам безопасности контролировать потоки данных, генерируемых со всех устройств, приложений и пользователей, присутствующих в сети для потенциальных уязвимостей или кибер-рисков. Лучшие инструменты безопасности на основе ИИ могут автоматически обнаруживать и отслеживать все ИТ-активы в широком диапазоне векторов атак, определять приоритеты исправлений на основе бизнес-риска и даже внедрять автоматические рабочие процессы исправления путем интеграции в системы корпоративных билетов и оркестровки безопасности.

nelus

Программист, SEO специалист, GEEK, увлекаюсь новостями из мира IT и безопасностью программного обеспечения.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button
Close