Pesquisadores das empresas israelenses Check Point e CyberInt descobriram falhas críticas de segurança na Origin, a loja da Electronic Arts (EA) para a comercialização de seus games e de outros recursos para os gamers. A EA é a produtora de sucessos como por exemplo FIFA Soccer, The Lord of the Rings, Nascar e Need For Speed. Sendo explorados, esses problemas levariam à captura de conta do gamer e ao roubo de sua identidade. A vulnerabilidade que a EA encerrou poderia ter permitido que um agente sequestrasse a sessão de navegação web um jogador, resultando em comprometimento e controle de conta, segundo comunicado conjunto distribuído hoje pelas duas empresas. Veja, abaixo, o diagrama de exploração da vulnerabilidade.
As descobertas foram feitas no início deste ano e comunicadas em seguida à EA, que providenciou a solução dos problemas antes da sua divulgação. O principal problema estava na possibilidade de registro de um subdomínio da empresa em nome de um terceiro sem a sua autorização.
Por causa disso, a exploração dessa falha não exigia que o usuário entregasse quaisquer detalhes do seu login. Na verdade, com um sobdomínio em poder de terceiros ficava possível capturar os tokens de autenticação enviados pela própria loja da EA – tokens criados em conjunto com o mecanismo de logon único (SSO) e TRUST da AAuth, e que fazem parte do processo de login do usuário da loja.
