EAOrigin的漏洞导致3亿玩家潜在暴露

受收购的威胁。据Check Point和CyberInt的安全研究人员称，该漏洞使流行的在线游戏(如《战地风云》，《 Madden NFL》，《 NBA Live》和《 FIFA》)中的超过3亿玩家暴露。

Check Point产品漏洞研究主管Oded Vanunu在一份声明中说：“ EA的Origin平台非常受欢迎，如果不加以修补，这些漏洞将使黑客能够劫持和利用数百万用户的帐户。”

该安全漏洞将允许黑客劫持人们的帐户而不会窃取其登录名或密码。那是因为它会窃取Single Sign-On授权令牌，从而可以完全控制黑客。访问令牌是一种类似于密码的身份验证方法，密码是由服务生成的用于使您保持登录状态的代码。

与Fortnite和Facebook相似的漏洞证明，它们比密码更难于窃取，但仍然可以实现。随着人们逐渐意识到在可疑网站上输入密码，黑客开始转向窃取访问令牌，而这可以在没有任何用户参与的情况下在后台完成。

安全研究人员能够通过URL“ eaplayinvite.ea.com”控制EA子域，该子域是Microsoft Azure云服务上托管的非活动域。Cyber​​ Int和Check Point的研究人员成功地请求从Microsoft Azure接管不活动的域，并将该页面变成了网络钓鱼陷阱。

研究人员说，他们可以将恶意页面发送给玩家，并且由于它是一个EA域，因此受害者更可能信任该链接。被劫持的页面上嵌入了代码，这些代码将获取旨在用于EA的访问令牌，并将其定向到研究人员。

Cyber​​Int网络运营主管Alexander Peleg在一封电子邮件中说：“我们已经控制了这些漏洞，因此在EA修复期间没有其他方可以利用这些漏洞。”

然后研究人员可以使用它来登录受害者的帐户。Cyber​​Int和Check Point表示，他们已于2月19日与EA联络修复了该漏洞，该公司表示已在三周内解决了该问题。

EA游戏和平台安全总监Adrian Stone在安全研究人员提供的一份声明中说：“保护玩家是我们的首要任务。” “由于Cyber​​Int和Check Point的报告，我们采用了我们的产品安全响应流程来纠正所报告的问题。”