Ga naar inhoud

Aanbevolen berichten

Geplaatst:

Een beveiligingsonderzoeker kon door middel van verschillende kwetsbaarheden miljoenen Electronic Arts-accounts overnemen, zonder dat hier enige interactie van gebruikers voor was vereist. Dat laat onderzoeker Sean Kahler in een analyse weten. Electronic Arts (EA) heeft de problemen inmiddels verholpen, maar had daar wel zo'n vier maanden en vijf patches voor nodig.

Kahler beschrijft hoe hij binnen de authentication API-omgeving van Electronic Arts een 'privileged access token' had bemachtigd. Hoe dit precies mogelijk was zegt de onderzoeker op een later moment bekend te maken, maar het zou gaan om een executable bestand van een EA-game met daarin hardcoded credentials. Vervolgens wist Kahler via een bereikbaar endpoint andere endpoints te vinden.

Elk account dat wordt gekoppeld aan een EA-account krijgt een 'persona', waaronder het standaard EA-account. Kahler weet via de gevonden endpoints en API's zijn eigen persona's aan elk willekeurig EA-account koppelen alsmede elk willekeurig persona aan zijn eigen EA-account en zo op de accounts van andere gebruikers in te loggen. In eerste instantie loopt de onderzoeker hierbij tegen een probleem aan dat er een e-mailverificatie is vereist, omdat er vanaf een nieuwe locatie wordt ingelogd.

Kahler ontdekt dat deze controle is te omzeilen door meteen in te loggen via een spelcomputer, zoals de Xbox, wat ervoor zorgt dat EA de locatie 'vertrouwt'. Daarna is het gewoon mogelijk om via de EA-website op het account in te loggen. Via de kwetsbaarheden kan de onderzoekers gebruikersnamen van andere gebruikers stelen, alsmede hun game data, inloggen op de accounts van andere gebruikers, persona's van andere gebruikers bannen en opgelegde bans omzeilen. Al deze zaken zijn zonder enige interactie van de betreffende gebruikers uit te voeren.

Electronic Arts wordt op 16 juni door Kahler over de kwetsbaarheden ingelicht en stelt dat het om een kritiek probleem gaat. In de volgende maanden verschijnen er vijf patches om de problemen te verhelpen, waarbij de laatste update op 8 oktober wordt uitgerold. "Gegeven de ernst is het vreemd hoe lang EA nodig had om de fixes uit te rollen. Hun originele inschatting was dat het pas tegen het einde van dit jaar was opgelost, ondanks dat het een eenvoudig geval is van blootgestelde documentatie en een enkel onbeveiligd endpoint." Daarnaast noemt de onderzoeker het teleurstellend dat EA geen bugbountyprogramma heeft.

 

bron: https://www.security.nl

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.