關(guān)鍵詞

安全漏洞

據(jù)Cyber News消息，游戲開(kāi)發(fā)人員兼白帽 Sean Kahler 發(fā)現(xiàn)了一個(gè)影響 Electronic Arts （EA） 帳戶系統(tǒng)的漏洞，可以在未經(jīng)授權(quán)的情況下訪問(wèn)任何EA用戶帳戶（目前EA用戶有大約7億），包括游戲統(tǒng)計(jì)數(shù)據(jù)。

該漏洞最開(kāi)始是由Kahler 在“某個(gè)游戲的可執(zhí)行文件”中找到硬編碼憑證后，在 EA 的開(kāi)發(fā)人員測(cè)試環(huán)境中獲得了特權(quán)訪問(wèn)令牌。

在掃描了暴露的文檔并四處探查后，Kahler 發(fā)現(xiàn)了一個(gè)帶有暴露 API（應(yīng)用程序編程接口）的內(nèi)部服務(wù)，從而揭開(kāi)了漏洞的面紗。EA 的內(nèi)部 API 允許修改被稱為 "角色 "的玩家配置文件。Kahler 最初將 EA 帳戶狀態(tài)更改為“禁止”，從而阻止了用戶登錄游戲。該 API 還允許將 Steam 帳戶鏈接到另一個(gè)用戶的 EA 帳戶。

Kahler 意識(shí)到，既然可以將自己的鏈接賬戶轉(zhuǎn)移到任何我想要的 EA 賬戶，那不就可以登錄到該鏈接賬戶，從而登錄到任何 EA 賬戶了嗎？同樣，通過(guò)使用 Xbox 帳戶并將其轉(zhuǎn)移到他人的 EA 帳戶，可以使用控制臺(tái)登錄對(duì)方的游戲，如《戰(zhàn)地 2042》，且不需要驗(yàn)證或密碼。

因此，黑客可以利用這一漏洞來(lái)竊取用戶名和游戲數(shù)據(jù)，并通過(guò)將他們的 Xbox 角色移動(dòng)到受害者的帳戶來(lái)登錄其他人的帳戶。暴露的 API 允許更改用戶名、禁止帳戶、阻止玩家訪問(wèn)游戲或在沒(méi)有用戶交互的情況下繞過(guò)禁令。

Kahler 于 2024 年 6 月 16 日負(fù)責(zé)任地向 EA 披露了漏洞，對(duì)方確認(rèn)了該漏洞并指定了嚴(yán)重性，并在7 月 7 日至 10 月 8 日期間陸續(xù)通過(guò)5個(gè)補(bǔ)丁修復(fù)了漏洞。

參考來(lái)源：Whitehat finds flaw that gave unauthorized access to over 700 million EA accounts

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！