侵權(quán)投訴
訂閱
糾錯(cuò)
加入自媒體

美國(guó)藝電公司的Origin游戲中 發(fā)現(xiàn)重大安全漏洞

2019-06-26 15:10
來(lái)源: 粵訊

全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商 Check Point? 軟件技術(shù)有限公司(納斯達(dá)克股票代碼:CHKP)的威脅情報(bào)部門(mén) Check Point Research,以及致力于為數(shù)字消費(fèi)者業(yè)務(wù)提供托管威脅檢測(cè)和響應(yīng)服務(wù)的領(lǐng)先網(wǎng)絡(luò)安全提供商 CyberInt,在 Electronic Arts (EA) 開(kāi)發(fā)的 Origin 游戲客戶端中發(fā)現(xiàn)了一系列漏洞。攻擊者可通過(guò)利用這些漏洞,接管游戲玩家的帳戶并盜用其身份。

EA 是全球第二大游戲公司,旗下?lián)碛卸嗫钪彝ビ螒颍ā禙IFA》、《麥登橄欖球》、《NBA Live》、《UFC》、《模擬市民》、《戰(zhàn)地風(fēng)云》、《終極動(dòng)員令》以及《榮譽(yù)勛章》等。這些游戲都使用 Origin 客戶端游戲平臺(tái),允許用戶在個(gè)人電腦和移動(dòng)設(shè)備上購(gòu)買(mǎi)和暢玩 EA 游戲。Origin 包含社交特性,例如個(gè)人資料管理、好友聊天以及直接加入游戲。它還與Facebook、Xbox Live、PlayStation Network和 Nintendo Network等網(wǎng)站進(jìn)行了社區(qū)集成。

CyberInt 和 Check Point 研究人員遵循協(xié)調(diào)漏洞披露實(shí)踐負(fù)責(zé)任地披露了 EA 的漏洞,以便 EA 在攻擊者利用這些漏洞之前修復(fù)漏洞并推出更新。他們結(jié)合自身的專業(yè)知識(shí)來(lái)支持 EA 開(kāi)發(fā)修復(fù)軟件,以進(jìn)一步加強(qiáng)對(duì)游戲社區(qū)的保護(hù)。EA 修復(fù)的漏洞可允許攻擊者劫持玩家會(huì)話,攻擊和接管玩家賬戶。

美國(guó)藝電公司(EA)游戲和平臺(tái)安全高級(jí)總監(jiān) Adrian Stone 表示:“保護(hù)游戲玩家的安全是我們的首要任務(wù)!薄癈yberInt 和 Check Point 報(bào)告漏洞后,我們立即啟動(dòng)了產(chǎn)品安全響應(yīng)流程來(lái)修復(fù)報(bào)告的問(wèn)題。按照“協(xié)調(diào)漏洞披露”的原則攜手合作可加強(qiáng)我們與更廣泛的網(wǎng)絡(luò)安全社區(qū)的關(guān)系,是保護(hù)我們游戲玩家不受侵害的重要舉措!

EA 平臺(tái)中發(fā)現(xiàn)的漏洞并不要求用戶提交任何登錄詳細(xì)信息。相反,它是利用廢棄的子域名和 EA 游戲使用的身份驗(yàn)證令牌以及內(nèi)置于 EA 游戲用戶登錄過(guò)程中的 OAuth 單點(diǎn)登錄 (SSO) 和 TRUST 機(jī)制。

Check Point 產(chǎn)品漏洞研究負(fù)責(zé)人 Oded Vanunu 表示:“EA 的 Origin 平臺(tái)非常受歡迎;這些漏洞如不及時(shí)修復(fù),黑客將能夠劫持和利用數(shù)百萬(wàn)用戶的帳戶!拔覀兘者在 Epic Games 的Fortnite游戲平臺(tái)中發(fā)現(xiàn)了安全漏洞,這些漏洞表明云應(yīng)用極易遭受攻擊和破壞。這些平臺(tái)擁有大量的敏感客戶數(shù)據(jù),因此,為越來(lái)越多的黑客所窺伺!

CyberInt Technologies 聯(lián)合創(chuàng)始人兼戰(zhàn)略部高級(jí)副總裁 Itay Yanovski 表示:“CyberInt 提供連續(xù)的自動(dòng)化早期檢測(cè),從攻擊者的角度思考如何幫助公司主動(dòng)采取措施來(lái)保護(hù)其客戶和業(yè)務(wù)!薄坝螒虍a(chǎn)品往往在暗網(wǎng)中的官方和非官方市場(chǎng)上交易,這使得對(duì)游戲工作室的攻擊非常有利可圖。我們認(rèn)為網(wǎng)絡(luò)安全行業(yè)有責(zé)任保護(hù)用戶安全,我們旨在通過(guò)對(duì)新發(fā)現(xiàn)的攻擊活動(dòng)(例如最近的TA505)展開(kāi)以威脅為中心的安全研究,為行業(yè)敲響安全警鐘,確保企業(yè)采取最有效的檢測(cè)和響應(yīng)措施。

Check Point 和 CyberInt 強(qiáng)烈建議用戶啟用雙因素身份驗(yàn)證,并只在官方網(wǎng)站上下載或購(gòu)買(mǎi)游戲。與此同時(shí),家長(zhǎng)也應(yīng)讓孩子們意識(shí)到網(wǎng)絡(luò)欺詐的威脅,并警告他們網(wǎng)絡(luò)犯罪分子會(huì)不擇手段地獲取玩家在線賬戶中的個(gè)人和財(cái)務(wù)信息。Check Point 和 CyberInt 建議游戲玩家在收到來(lái)自未知來(lái)源的鏈接時(shí)始終保持警惕。

有關(guān)該漏洞的完整技術(shù)分析,請(qǐng)參見(jiàn) Check Point Research 博客(點(diǎn)擊此處)。

關(guān)于 CyberInt Research

CyberInt Research 專注于研究攻擊者的攻擊手段以及戰(zhàn)術(shù)、技術(shù)和程序 (TTP),重點(diǎn)關(guān)注各地區(qū)部門(mén)和行業(yè)所面臨的威脅;CyberInt 應(yīng)用研究團(tuán)隊(duì)旨在跟蹤新興威脅和攻擊者,以提供關(guān)于其攻擊能力和操作手段的出色洞察。

關(guān)于 CyberInt

CyberInt (www.cyberint.com)旨在借助以業(yè)務(wù)為中心的敏捷洞察和響應(yīng),將網(wǎng)絡(luò)安全轉(zhuǎn)變?yōu)闃I(yè)務(wù)推動(dòng)力。CyberInt 具備深厚的網(wǎng)絡(luò)專業(yè)知識(shí)和深刻的業(yè)務(wù)理解,可就企業(yè)如何保護(hù)業(yè)務(wù)目標(biāo)、客戶、員工和品牌提供出色的洞察和響應(yīng)措施。CyberInt 為世界各地的頂級(jí)零售、金融和游戲組織提供服務(wù),并深入了解每個(gè)行業(yè)特有的威脅、需求和行為。

CyberInt 應(yīng)用研究是 CyberInt 的核心組成部分,專注于研究攻擊者的攻擊手段以及 TTP,重點(diǎn)關(guān)注各地區(qū)部門(mén)和行業(yè)所面臨的威脅;CyberInt 應(yīng)用研究團(tuán)隊(duì)旨在跟蹤新興威脅和攻擊者,以提供關(guān)于其攻擊能力和操作手段的出色洞察。

關(guān)于 Check Point Research

Check Point Research 能夠?yàn)?nbsp;Check Point Software 客戶以及整個(gè)情報(bào)界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報(bào)。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲(chǔ)的全球網(wǎng)絡(luò)攻擊數(shù)據(jù),以便在防范黑客的同時(shí),確保所有 Check Point 產(chǎn)品都享有最新保護(hù)措施。此外,該團(tuán)隊(duì)由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組展開(kāi)合作。

關(guān)于 Check Point 軟件科技有限公司

Check Point 軟件科技有限公司 (www.checkpoint.com) 是全球領(lǐng)先的信息安全供應(yīng)商,其解決方案對(duì)惡意軟件、勒索軟件和其他類型攻擊的防范率均領(lǐng)先于業(yè)界水準(zhǔn),Check Point致力于保護(hù)客戶免受網(wǎng)絡(luò)攻擊威脅。Check Point 提供一個(gè)多層次的安全架構(gòu),保護(hù)企業(yè)云端、網(wǎng)絡(luò)、終端和移動(dòng)設(shè)備中存有的信息安全,并具有最全面和最直觀的統(tǒng)一安全運(yùn)營(yíng)平臺(tái)。自成立25年以來(lái),Check Point 已經(jīng)持續(xù)為全球超過(guò)10萬(wàn)家企業(yè)提供信息安全保護(hù)。

聲明: 本文系OFweek根據(jù)授權(quán)轉(zhuǎn)載自其它媒體或授權(quán)刊載,目的在于信息傳遞,并不代表本站贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé),如有新聞稿件和圖片作品的內(nèi)容、版權(quán)以及其它問(wèn)題的,請(qǐng)聯(lián)系我們。

發(fā)表評(píng)論

0條評(píng)論,0人參與

請(qǐng)輸入評(píng)論內(nèi)容...

請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字

您提交的評(píng)論過(guò)于頻繁,請(qǐng)輸入驗(yàn)證碼繼續(xù)

  • 看不清,點(diǎn)擊換一張  刷新

暫無(wú)評(píng)論

暫無(wú)評(píng)論

安防 獵頭職位 更多
文章糾錯(cuò)
x
*文字標(biāo)題:
*糾錯(cuò)內(nèi)容:
聯(lián)系郵箱:
*驗(yàn) 證 碼:

粵公網(wǎng)安備 44030502002758號(hào)