美國(guó)藝電公司的Origin游戲中 發(fā)現(xiàn)重大安全漏洞
全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商 Check Point? 軟件技術(shù)有限公司(納斯達(dá)克股票代碼:CHKP)的威脅情報(bào)部門(mén) Check Point Research,以及致力于為數(shù)字消費(fèi)者業(yè)務(wù)提供托管威脅檢測(cè)和響應(yīng)服務(wù)的領(lǐng)先網(wǎng)絡(luò)安全提供商 CyberInt,在 Electronic Arts (EA) 開(kāi)發(fā)的 Origin 游戲客戶端中發(fā)現(xiàn)了一系列漏洞。攻擊者可通過(guò)利用這些漏洞,接管游戲玩家的帳戶并盜用其身份。
EA 是全球第二大游戲公司,旗下?lián)碛卸嗫钪彝ビ螒颍ā禙IFA》、《麥登橄欖球》、《NBA Live》、《UFC》、《模擬市民》、《戰(zhàn)地風(fēng)云》、《終極動(dòng)員令》以及《榮譽(yù)勛章》等。這些游戲都使用 Origin 客戶端游戲平臺(tái),允許用戶在個(gè)人電腦和移動(dòng)設(shè)備上購(gòu)買(mǎi)和暢玩 EA 游戲。Origin 包含社交特性,例如個(gè)人資料管理、好友聊天以及直接加入游戲。它還與Facebook、Xbox Live、PlayStation Network和 Nintendo Network等網(wǎng)站進(jìn)行了社區(qū)集成。
CyberInt 和 Check Point 研究人員遵循協(xié)調(diào)漏洞披露實(shí)踐負(fù)責(zé)任地披露了 EA 的漏洞,以便 EA 在攻擊者利用這些漏洞之前修復(fù)漏洞并推出更新。他們結(jié)合自身的專業(yè)知識(shí)來(lái)支持 EA 開(kāi)發(fā)修復(fù)軟件,以進(jìn)一步加強(qiáng)對(duì)游戲社區(qū)的保護(hù)。EA 修復(fù)的漏洞可允許攻擊者劫持玩家會(huì)話,攻擊和接管玩家賬戶。
美國(guó)藝電公司(EA)游戲和平臺(tái)安全高級(jí)總監(jiān) Adrian Stone 表示:“保護(hù)游戲玩家的安全是我們的首要任務(wù)!薄癈yberInt 和 Check Point 報(bào)告漏洞后,我們立即啟動(dòng)了產(chǎn)品安全響應(yīng)流程來(lái)修復(fù)報(bào)告的問(wèn)題。按照“協(xié)調(diào)漏洞披露”的原則攜手合作可加強(qiáng)我們與更廣泛的網(wǎng)絡(luò)安全社區(qū)的關(guān)系,是保護(hù)我們游戲玩家不受侵害的重要舉措!
EA 平臺(tái)中發(fā)現(xiàn)的漏洞并不要求用戶提交任何登錄詳細(xì)信息。相反,它是利用廢棄的子域名和 EA 游戲使用的身份驗(yàn)證令牌以及內(nèi)置于 EA 游戲用戶登錄過(guò)程中的 OAuth 單點(diǎn)登錄 (SSO) 和 TRUST 機(jī)制。
Check Point 產(chǎn)品漏洞研究負(fù)責(zé)人 Oded Vanunu 表示:“EA 的 Origin 平臺(tái)非常受歡迎;這些漏洞如不及時(shí)修復(fù),黑客將能夠劫持和利用數(shù)百萬(wàn)用戶的帳戶!拔覀兘者在 Epic Games 的Fortnite游戲平臺(tái)中發(fā)現(xiàn)了安全漏洞,這些漏洞表明云應(yīng)用極易遭受攻擊和破壞。這些平臺(tái)擁有大量的敏感客戶數(shù)據(jù),因此,為越來(lái)越多的黑客所窺伺!
CyberInt Technologies 聯(lián)合創(chuàng)始人兼戰(zhàn)略部高級(jí)副總裁 Itay Yanovski 表示:“CyberInt 提供連續(xù)的自動(dòng)化早期檢測(cè),從攻擊者的角度思考如何幫助公司主動(dòng)采取措施來(lái)保護(hù)其客戶和業(yè)務(wù)!薄坝螒虍a(chǎn)品往往在暗網(wǎng)中的官方和非官方市場(chǎng)上交易,這使得對(duì)游戲工作室的攻擊非常有利可圖。我們認(rèn)為網(wǎng)絡(luò)安全行業(yè)有責(zé)任保護(hù)用戶安全,我們旨在通過(guò)對(duì)新發(fā)現(xiàn)的攻擊活動(dòng)(例如最近的TA505)展開(kāi)以威脅為中心的安全研究,為行業(yè)敲響安全警鐘,確保企業(yè)采取最有效的檢測(cè)和響應(yīng)措施。
Check Point 和 CyberInt 強(qiáng)烈建議用戶啟用雙因素身份驗(yàn)證,并只在官方網(wǎng)站上下載或購(gòu)買(mǎi)游戲。與此同時(shí),家長(zhǎng)也應(yīng)讓孩子們意識(shí)到網(wǎng)絡(luò)欺詐的威脅,并警告他們網(wǎng)絡(luò)犯罪分子會(huì)不擇手段地獲取玩家在線賬戶中的個(gè)人和財(cái)務(wù)信息。Check Point 和 CyberInt 建議游戲玩家在收到來(lái)自未知來(lái)源的鏈接時(shí)始終保持警惕。
有關(guān)該漏洞的完整技術(shù)分析,請(qǐng)參見(jiàn) Check Point Research 博客(點(diǎn)擊此處)。
關(guān)于 CyberInt Research
CyberInt Research 專注于研究攻擊者的攻擊手段以及戰(zhàn)術(shù)、技術(shù)和程序 (TTP),重點(diǎn)關(guān)注各地區(qū)部門(mén)和行業(yè)所面臨的威脅;CyberInt 應(yīng)用研究團(tuán)隊(duì)旨在跟蹤新興威脅和攻擊者,以提供關(guān)于其攻擊能力和操作手段的出色洞察。
關(guān)于 CyberInt
CyberInt (www.cyberint.com)旨在借助以業(yè)務(wù)為中心的敏捷洞察和響應(yīng),將網(wǎng)絡(luò)安全轉(zhuǎn)變?yōu)闃I(yè)務(wù)推動(dòng)力。CyberInt 具備深厚的網(wǎng)絡(luò)專業(yè)知識(shí)和深刻的業(yè)務(wù)理解,可就企業(yè)如何保護(hù)業(yè)務(wù)目標(biāo)、客戶、員工和品牌提供出色的洞察和響應(yīng)措施。CyberInt 為世界各地的頂級(jí)零售、金融和游戲組織提供服務(wù),并深入了解每個(gè)行業(yè)特有的威脅、需求和行為。
CyberInt 應(yīng)用研究是 CyberInt 的核心組成部分,專注于研究攻擊者的攻擊手段以及 TTP,重點(diǎn)關(guān)注各地區(qū)部門(mén)和行業(yè)所面臨的威脅;CyberInt 應(yīng)用研究團(tuán)隊(duì)旨在跟蹤新興威脅和攻擊者,以提供關(guān)于其攻擊能力和操作手段的出色洞察。
關(guān)于 Check Point Research
Check Point Research 能夠?yàn)?nbsp;Check Point Software 客戶以及整個(gè)情報(bào)界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報(bào)。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲(chǔ)的全球網(wǎng)絡(luò)攻擊數(shù)據(jù),以便在防范黑客的同時(shí),確保所有 Check Point 產(chǎn)品都享有最新保護(hù)措施。此外,該團(tuán)隊(duì)由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組展開(kāi)合作。
關(guān)于 Check Point 軟件科技有限公司
Check Point 軟件科技有限公司 (www.checkpoint.com) 是全球領(lǐng)先的信息安全供應(yīng)商,其解決方案對(duì)惡意軟件、勒索軟件和其他類型攻擊的防范率均領(lǐng)先于業(yè)界水準(zhǔn),Check Point致力于保護(hù)客戶免受網(wǎng)絡(luò)攻擊威脅。Check Point 提供一個(gè)多層次的安全架構(gòu),保護(hù)企業(yè)云端、網(wǎng)絡(luò)、終端和移動(dòng)設(shè)備中存有的信息安全,并具有最全面和最直觀的統(tǒng)一安全運(yùn)營(yíng)平臺(tái)。自成立25年以來(lái),Check Point 已經(jīng)持續(xù)為全球超過(guò)10萬(wàn)家企業(yè)提供信息安全保護(hù)。
發(fā)表評(píng)論
請(qǐng)輸入評(píng)論內(nèi)容...
請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字
圖片新聞
最新活動(dòng)更多
-
12月19日立即報(bào)名>> 【線下會(huì)議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會(huì)
-
精彩回顧立即查看>> 2024中國(guó)國(guó)際工業(yè)博覽會(huì)維科網(wǎng)·激光VIP企業(yè)展臺(tái)直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會(huì)暨展覽會(huì)
-
精彩回顧立即查看>> 【線下會(huì)議】全數(shù)會(huì)2024電子元器件展覽會(huì)
-
精彩回顧立即查看>> 三菱電機(jī)紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
編輯推薦
- 高級(jí)軟件工程師 廣東省/深圳市
- 自動(dòng)化高級(jí)工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級(jí)銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門(mén)市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市