EA Games 漏洞致3亿账户面临账户劫持威胁

  EA Games 曝光系统漏洞,网络黑客可运用该系统漏洞被劫持申请注册游戏玩家帐户,偷偷获得彻底浏览及决策权,或驱使游戏玩家与网络黑客互动交流。受危害帐户数达 3 亿。

  印度网络信息安全企业 CyberInt 和 Check Point 发觉,她们能够控制 EA Games 的注册域名方法,被劫持微软公司 Azure 云上的子域名以彻底移交游戏玩家帐户。

  EA Game 为美国艺电公司主打产品最关键的知名品牌,赢利公司估值约 60 亿美金,开发设计、出售、代管着手机游戏界广为人知的五大經典,例如健身运动类手机游戏《FIFA》、《瘋狂橄榄球》(Madden)、《NBA》和射击类 (FPS) 手机游戏《战地》(Battlefield)、《荣誉勋章》(Medal of Honor) 等。《全部这种知名的手机游戏都根据 EA Games 的大数字分发平台 Origin 开售。

  Origin 平台游戏兼顾社交媒体作用,帐户持有人可根据闲聊运用或立即添加手机游戏应用程序与盆友联络。该服务平台还与 Facebook、Xbox Live、Play Station Network 和任天堂互联网 (Nintendo Network) 等好几个社交平台开展了小区集成化。

  科学研究工作人员发觉的系统漏洞可让网络黑客根据逐步运用系统漏洞来最后获得客户的单点登录 (SSO) 凭据。

  维护游戏玩家是人们的重中之重。收到 CyberInt 和 Check Point 的汇报后,人们起动了安全产品没有响应全过程以减轻该难题。在协作系统漏洞公布标准下协作推动了人们与众多网络信息安全小区的密切联系,是保证游戏玩家安全性的关键构成。

  EA Games 服务平台选用好几个不一样网站域名经营其服务项目,例如 ea.com 和 origin.com,前者即是 EA 大数字店铺。2个网站域名都可以登陆 EA 帐户。

  EA Games 这类云服务器会将子域名详细地址申请注册到特殊云服务提供商的托管主机上,例如 eaplayinvite.ea.com 的 DNS 表针就偏向服务器目录 ea-invite-reg.azurewebsites.net ——那时候已经后台程序该服务项目。

  EA Games 选用微软公司 Azure 代管其包含 ea.com 和 origin.com 以外的好几个网站域名,Azure 用户账户持有人能够注册申请特殊服务项目名来关系网站域名与子域名。

  CyberInt 在对 EA 服务平台的调研中发觉,ea-invite-reg.azurewebsites.net 服务项目在 Azure 云服务器中已已不应用,殊不知该特殊子域名 eaplayinvite.ea.com 仍然根据 CNAME 配备重定向到此服务项目。

  人们能够用人们自身的 Azure 帐户进行新的申请注册,将 ea-invite-reg.azurewebsites.net 取得成功申请注册为人们的 Web 应用服务。由于 CNAME 配备仍然将 eaplayinvite.ea.com 重定向到 ea-invite-reg.azurewebsites.net,人们大部分就等于被劫持了 eaplayinvite.ea.com 的子域名,能够监控 EA 客户递交的恳求。

  因此,科学研究工作人员进一步被劫持了域名信息重定向,而 eaplayinvite.ea.com 网站域名被重定向来到她们的 Azure 云 Web 服务项目帐户。

  再根据一连串流程,牟取 SSO 凭据并非哪些烦心事。Check Point 也的确那么干了。她们改动了某客户发向遭劫持 EA 子域名的 HTTP 恳求中 *returnURI* 主要参数。该企业在遭劫持子域名数据库索引页中插进了1个 Iframe 内联架构,让恳求从该 Iframe 进行,为此绕开网络服务器 HTTP Referer 头认证。

  Check Point 商品系统漏洞科学研究负责人 Oded Vanunu 在电子邮箱申明中评价道:EA 的 Origin 服务平台十分时兴,假如不修补,这种系统漏洞能致数千万客户被网络黑客被劫持运用。

  加上人们近期在 Epic Games 第三人称射击类游戏《堡垒之夜》 (Fortnite) 常用服务平台中发觉的这些系统漏洞,免费在线运用和云应用的易损性微乎其微。由于存在过多比较敏感客户资料,这种服务平台在网络黑客眼里愈来愈诱惑。



免责声明:文章《EA Games 漏洞致3亿账户面临账户劫持威胁》来至网络,文章表达观点不代表本站观点,文章版权属于原作者所有,若有侵权,请联系本站站长处理!



上一篇:dnSpy v5.0.10 官方最新版
下一篇:ecshop的前台写shell 0day
您可能感兴趣:
  • 黑客接单黑客头像
  • QQ: