Vulnerabilidade na Electronic Arts deixa em risco 300 mil gamers

Paulo Brito
26/06/2019

Pesquisadores das empresas israelenses Check Point e CyberInt descobriram falhas críticas de segurança na Origin, a loja da Electronic Arts (EA) para a comercialização de seus games e de outros recursos para os gamers. A EA é a produtora de sucessos como por exemplo FIFA Soccer, The Lord of the Rings, Nascar e Need For Speed. Sendo explorados, esses problemas levariam à captura de conta do gamer e ao roubo de sua identidade. A vulnerabilidade que a EA encerrou poderia ter permitido que um agente sequestrasse a sessão de navegação web um jogador, resultando em comprometimento e controle de conta, segundo comunicado conjunto distribuído hoje pelas duas empresas. Veja, abaixo, o diagrama de exploração da vulnerabilidade.

Vídeo em inglês demonstra o takeover numa conta da loja Origin

As descobertas foram feitas no início deste ano e comunicadas em seguida à EA, que providenciou a solução dos problemas antes da sua divulgação. O principal problema estava na possibilidade de registro de um subdomínio da empresa em nome de um terceiro sem a sua autorização.

Por causa disso, a exploração dessa falha não exigia que o usuário entregasse quaisquer detalhes do seu login. Na verdade, com um sobdomínio em poder de terceiros ficava possível capturar os tokens de autenticação enviados pela própria loja da EA – tokens criados em conjunto com o mecanismo de logon único (SSO) e TRUST da AAuth, e que fazem parte do processo de login do usuário da loja.

Compartilhar:

Últimas Notícias

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)