Onderzoeker kon miljoenen Electronic Arts-accounts op afstand overnemen

[Captain Kirk]

Een beveiligingsonderzoeker kon door middel van verschillende kwetsbaarheden miljoenen Electronic Arts-accounts overnemen, zonder dat hier enige interactie van gebruikers voor was vereist. Dat laat onderzoeker Sean Kahler in een analyse weten. Electronic Arts (EA) heeft de problemen inmiddels verholpen, maar had daar wel zo'n vier maanden en vijf patches voor nodig.

Kahler beschrijft hoe hij binnen de authentication API-omgeving van Electronic Arts een 'privileged access token' had bemachtigd. Hoe dit precies mogelijk was zegt de onderzoeker op een later moment bekend te maken, maar het zou gaan om een executable bestand van een EA-game met daarin hardcoded credentials. Vervolgens wist Kahler via een bereikbaar endpoint andere endpoints te vinden.

Elk account dat wordt gekoppeld aan een EA-account krijgt een 'persona', waaronder het standaard EA-account. Kahler weet via de gevonden endpoints en API's zijn eigen persona's aan elk willekeurig EA-account koppelen alsmede elk willekeurig persona aan zijn eigen EA-account en zo op de accounts van andere gebruikers in te loggen. In eerste instantie loopt de onderzoeker hierbij tegen een probleem aan dat er een e-mailverificatie is vereist, omdat er vanaf een nieuwe locatie wordt ingelogd.

Kahler ontdekt dat deze controle is te omzeilen door meteen in te loggen via een spelcomputer, zoals de Xbox, wat ervoor zorgt dat EA de locatie 'vertrouwt'. Daarna is het gewoon mogelijk om via de EA-website op het account in te loggen. Via de kwetsbaarheden kan de onderzoekers gebruikersnamen van andere gebruikers stelen, alsmede hun game data, inloggen op de accounts van andere gebruikers, persona's van andere gebruikers bannen en opgelegde bans omzeilen. Al deze zaken zijn zonder enige interactie van de betreffende gebruikers uit te voeren.

Electronic Arts wordt op 16 juni door Kahler over de kwetsbaarheden ingelicht en stelt dat het om een kritiek probleem gaat. In de volgende maanden verschijnen er vijf patches om de problemen te verhelpen, waarbij de laatste update op 8 oktober wordt uitgerold. "Gegeven de ernst is het vreemd hoe lang EA nodig had om de fixes uit te rollen. Hun originele inschatting was dat het pas tegen het einde van dit jaar was opgelost, ondanks dat het een eenvoudig geval is van blootgestelde documentatie en een enkel onbeveiligd endpoint." Daarnaast noemt de onderzoeker het teleurstellend dat EA geen bugbountyprogramma heeft.

 

bron: https://www.security.nl