Alvorlig sårbarhet i EA Origin

- Millioner av kontoer kunne ha blitt utnyttet

Sikkerhethullet åpner for at hackere kunne ta over brukerkontoer uten innloggingsinformasjon hos verdens nest største spillselskap.

POPULÆR SPILLTJENESTE: Origin er spilltjenesten til Electronic Arts som har over 300 millioner brukere.
POPULÆR SPILLTJENESTE: Origin er spilltjenesten til Electronic Arts som har over 300 millioner brukere. Vis mer

Spillselskapet Electronic Arts ser ut til å ha sluppet unna det som kunne blitt en massiv sikkerhetsskandale.

Sikkerhetsselskapene Check Point Research og CyberInt oppdaget nylig en sårbarhet i EAs spillklient Origin som ville gitt hackere fri tilgang til 300 millioner brukere.

Kunne utnyttet millioner kundekontoer

- Hvis den ikke ble oppdatert, kunne disse feilene ha ført til kidnapping og utnyttelse av millioner av kundekontoer, sier Oded Vanunu, Head of Products Vulnerability Research hos Check Point i en pressemelding.

Sårbarheten som ble avdekket i EAs plattform ville gjort det mulig for hackere å få tilgang til brukernes kontoer uten å måtte oppgi innloggingsopplysninger.

EA er verdens nest største spillselskap og har kjente titler som FIFA, Madden NFL, NBA Live, UFC, The Sims, Battlefield, Command og Conquer og Medal of Honor i porteføljen.

Med spillklienten Origin kan brukerne kjøpe og spille EAs spill på PC og Mac.

Hackerns nye fremgangsmåte

Dette fordi den ga tilgang til såkalte autentiseringstokens, som er en autoriseringsmetode som ligner på passord, som koder generert av tjenester for å holde deg innlogget, ifølge Cnet.

- De er vanskeligere å stjele enn passord, men det er fremdeles mulig, som man tidligere har sett med sårbarheter oppdaget i både Fortnite og Facebook. Ettersom folk blir mer oppmerksomme med å oppgi passord på mistenkelige nettsider, har hackere begynt å stjele slike tokens i stedet, hvilket kan gjøres i bakgrunnen uten at brukeren er involvert, skriver Cnet.

I dette tilfellet tok sikkerhetsforskerne kontroll over et underdomene til EA som ikke var i bruk, og via dette kunne de lage en falsk nettside de sendte til spillere, som igjen ikke så noe mistenkelig siden adressen tilhørte spillselskapet. Og vips fikk de tilgang til brukernes kontoer.

Sikkerhetsselskapene informerte Electronic Arts om sikkerhetsbristen, og spillselskapet skal nå ha tettet hullet.