EA:已修复影响3亿玩家的Origin游戏服务漏洞
6月30日消息不久前,安全研究职员发现了来自Electronic Arts(EA)的Origin游戏领域中的毛病,这些毛病本能够让攻打者回收多达3亿用户的帐户。当前EA显露曾经整修了该问题。
此前Check Point和CyberInt的研究职员发现了少许Origin游戏领域的问题,他们的一个子域名被重定向到微软Azure云计较服无上的一个烧毁主机,任何人都能够不收费注册。这宛若是EA游戏公司的无视。
“平时,基于云的公司(如EA Games)提供的每项服无都在一个唯独的子域名地点上注册,比方eaplayinvite.ea.com,而且具有指向特定云提供商主机的DNS指针(A或CNAME纪录) ,以下图,ea-invite-reg.azurewebsites.net,它在背景运行所需的服无,在这种环境下是一个Web使用程序服无器。“
由于它已不再使用,研究职员能够或许将“ea-invite-reg.azurewebsites.net”注册为Azure上本人的Web使用程序服无的称号。由于CNAME纪录仍处于举止状况,研究职员通过“eaplayinvite.ea.com”收到了EA用户提出的全部要求。
固然挟制子域名不及以导致帐户回收攻打,但它赞助研究职员寻找一种方式来行使这种走访方式,使黑客受益。该毛病不需求用户交卸任何登录细致消息,而是行使身份考证令牌以及EA游戏用户登录过程当中内置的oAuth单点登录(SSO)和TRUST机制。攻打者能够行使一系列“毛病”来攻打FIFA,Maden NFL,NBA Live,UFC,模仿人生以及声誉勋章等游戏玩家。
上一篇:
版权压力顶不住:开发者关停网页……
下一篇:
V社新款头戴式VR设备今日发售……