網路安全公司：EA Origion平台存在一系列重大漏洞個資恐外洩 https://game.ettoday.net/article/1479350.htm https://cdn2.ettoday.net/images/4203/d4203877.jpg 記者周之鼎／台北報導 Check Point Software Technologies 的威脅情報部門Check Point Research，今（7/1 ）日發表在美商藝電（Electronic Arts; EA）旗下的遊戲平台Origin中發現了一系列漏 洞，攻擊者可透過這些漏洞來盜取玩家的帳戶及身份。 作為全球第二大的遊戲公司，EA旗下擁有，包括《國際足盟大賽FIFA》、《勁爆美式足球 Madden NFL》、《NBA Live》、《模擬市民》、《戰地風雲》等多款知名家用遊戲，而這 些遊戲都使用Origin遊戲平台，允許玩家在個人電腦和行動裝置上購買及暢玩EA遊戲。 Origin除了包含如個人資料管理、好友聊天聯繫及立即加入遊戲等網路社群功能，還與 Facebook、Xbox Live、PlayStation Network和任天堂（Nintendo Network）等平台進行 了社群整合。 CyberInt和Check Point研究人員遵循協調的漏洞揭露原則，公佈了EA的漏洞，讓EA能在 攻擊者利用這些漏洞之前進行修復並推出更新，這些漏洞包含允許攻擊者攔截玩家進度， 進而入侵和接管玩家帳戶。 EA遊戲及平台安全資深總監Adrian Stone表示：「保護玩家的安全是我們的首要任務。根 據CyberInt和Check Point的報告，我們啟動了產品安全回應流程來修復報告中的問題。 遵循協調的漏洞揭露原則，未來更將廣泛的與網路安全社群攜手合作以強化彼此的關係， 來保護EA遊戲玩家免於惡意攻擊。」 EA平台中發現的漏洞未要求用戶提交任何登錄的詳細資訊。相反地，它是利用廢棄的子功 能變數名稱和EA遊戲使用的身份驗證權限，結合內建於EA用戶登錄過程中的OAuth單一登 錄（SSO）和 TRUST機制製造漏洞。 Check Point產品漏洞研究主管Oded Vanunu表示：「EA Origin平台非常受歡迎，若這些 漏洞不即時修復，駭客將攔截和利用數百萬用戶的帳戶；我們近期也在Epic Games的《要 塞英雄》遊戲平台中發現漏洞，證明了雲端應用極易遭受攻擊和破壞。擁有大量敏感用戶 資料的這些平台，也成為越來越多駭客的攻擊目標。」 CyberInt Technologies共同創辦人兼策略資深副總裁Itay Yanovski表示：「CyberInt提 供不間斷、自動化的前期監測，從攻擊者的角度思考，如何幫助企業主動採取措施保護其 客戶和業務。遊戲產品往往在暗網中的官方和非官方市場上進行交易，因此攻擊遊戲工作 室的獲利極為豐厚。我們認為網路安全產業有責任保護用戶，透過對新發現的攻擊活動（ 如最近的TA505）展開以威脅為中心的安全研究，為產業敲響安全警鐘，確保企業採取最 有效的檢測和防禦緩解措施。」 Check Point和CyberInt強烈建議用戶啟用雙重因素身份驗證，只在官方網站下載或購買 遊戲，並對於未知來源的連結始終保持警惕。此外，家長也應讓孩子意識到網路詐騙的威 脅，並警告他們網路犯罪分子會不擇手段地獲取玩家線上帳戶中的個人和財務資訊。 =================== Epic Games表示:我們直接內建 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.177.1.58 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1561980071.A.C6A.html