Foi descoberta uma falha de segurança na plataforma Origin, da EA Games. Na prática permitia que um atacante pudesse roubar contas de utilizadores e informações confidenciais de forma remota.
Vulnerabilidade na EA Games expõe 300 milhões de utilizadores
A falha, que no momento da publicação deste post já tinha sido corrigida, foi descoberta na Origin. É uma plataforma com mais de 300 milhões de utilizadores. Conforme sabe é desenvolvida pela Electronic Arts (EA). Nela, os utilizadores jogam e compram os jogos da empresa. São exemplo disso, o Apex Legends ou FIFA, entre outros. Através desta plataforma, os utilizadores podem gerir as suas contas e perfis. Podem também comunicar com amigos através de chat. É também possível participar em jogos numa comunidade que inclui o Xbox Live, PlayStation Network e Nintendo Network, entre outras.
De acordo com especialistas da Check Point e CyberInt, quando a vulnerabilidade estava presente na plataforma, um atacante só precisava enganar os utilizadores e convencê-los a abrir um site oficial da EA Games para roubar a sua conta. Não era necessário que o utilizador fornecesse informações sobre as credenciais de acesso usadas para efetuar o login.
Isto era possível porque os hackers poderiam aproveitavam-se de uma antiga vulnerabilidade não corrigida no serviço de cloud do Microsoft Azure, que permitia roubar um subdomínio da EA que já tinha sido registado no Azure para hospedar um dos serviços da Origin.
Como o portal TheHackerNews explica, se o DNS de um domínio aponta para a plataforma de cloud do Azure, mas não foi configurado ou associado a um utilizador ativo do Azure, qualquer outro utilizador do Azure pode roubar a conta para colocar esse subdomínio no seu servidor do Azure.
Os investigadores realizaram um ataque como parte de uma Prova de Conceito (PoC) e sequestraram um subdomínio que estava inativo sob a URL “eaplayinvite.ea.com” e conseguiram hospedar um script no domínio que explorou a falha de segurança no início de sessão única (SSO) do oAuth e no mecanismo TRUST incluído no processo de login dos utilizadores da EA Games.
Desta forma, converteram um domínio inativo num site de phishing. Assim, poderiam enviar o site malicioso para os jogadores. Uma vez que se tratava de um domínio da EA Games, não gerava suspeitas. O código embutido no site tinha a capacidade de roubar os tokens SSO de acesso da EA. Deste modo, o hacker conseguiria as credenciais da conta da vítima. Para além disso, teria a capacidade de roubar não apenas os acessos, mas também as informações contidas, como dados de cartões de crédito, para além da possibilidade de realizar compras dentro do jogo.