Les vulnérabilités, maintenant corrigées, du service de jeu en ligne utilisé par des dizaines de millions de personnes auraient pu permettre aux attaquants d'accéder à des informations personnelles et de prendre le contrôle de leurs comptes.
Car en plus de permettre aux joueurs des jeux édités par Electronic Arts, EA Origins abrite également des données telles que des éléments d'identification ainsi que des informations bancaires.
Les chercheurs des sociétés israéliennes de cybersécurité Check Point et CyberInt ont découvert qu'il était possible pour les attaquants d'accéder au système via une "chaîne de vulnérabilités" qui exploite l'utilisation par EA Games de jetons d'authentification conjointement avec le mécanisme oAuth Single Sign-On (SSO) et de confiance qui est intégré au processus de connexion.
Les sociétés de sécurité ont déclaré que la vulnérabilité d'EA, désormais réparée, aurait pu permettre à des cybercriminels de détourner la session d'un joueur, aboutissant à la prise de contrôle de leur compte.
Selon Check Point, la faille aurait ainsi pu permettre à un attaquant d'accéder aux informations de carte de crédit d'un utilisateur avec la possibilité d'acheter frauduleusement de la monnaie du jeu au nom de l'utilisateur.
De même, les vulnérabilités constatées sur la plate-forme d'EA n'exigeaient pas de l'utilisateur qu'il communique ses données d'accès, quelles qu'elles soient.
"Ce que nous avons vu, c'est une lacune dans un environnement en Cloud mal configuré.
Nous avons donc ajouté un sous-domaine qui avait été officiellement supprimé par EA bien qu'au niveau de l'application, le niveau du sous-domaine était toujours là", a déclaré Oded Vanunu, responsable de la recherche sur la vulnérabilité des produits chez Check Point, interrogé par ZDNet.
"Nous pourrions ouvrir une instance sur Azure et l'appeler du même nom et l'application appelle toujours le domaine.
Il y avait encore du Javascript dans tous ces domaines que nous avons identifiés et nous les avons utilisés pour manipuler la menace", a ajouté ce dernier.
Une fois ce domaine mis en place, les chercheurs ont examiné le mécanisme de connexion unique d'Origin, constatant qu'il échangeait les identifiants de connexion de l'utilisateur avec une clé unique qui l'authentifie sur le réseau EA sans avoir à saisir à nouveau les détails.
En combinant cela avec la façon dont EA avait mis en œuvre le mécanisme de confiance, les chercheurs ont découvert qu'il était possible de rediriger les utilisateurs vers la connexion via le sous-domaine piraté.
Ceci pourrait être réalisé avec une attaque de phishing, par laquelle un attaquant malveillant pourrait utiliser la propre plate-forme de communication d'Origin ou une autre application de chat pour tromper l'utilisateur en cliquant sur le lien.
De cette façon, l'attaquant pourrait accéder directement au compte avec la possibilité d'accéder à toutes les données personnelles qui s'y trouvent - qui peuvent inclure un vrai nom, une date de naissance et un accès aux informations de paiement.
Le compte lui-même pourrait même être mis en vente - verrouillant ainsi l'accès au compte pour son propriétaire légitime.
"Ces comptes sont échangés sur des marchés officiels et non officiels dans le darknet, ce qui rend les attaques contre les studios de jeux très lucratives", a déclaré Itay Yanovski, co-fondateur et vice-président principal de la stratégie chez CyberInt Technologies.
Check Point et CyberInt ont révélé la vulnérabilité à EA et la société a déployé une mise à jour pour corriger le problème afin de protéger les utilisateurs des attaques avant que la faille ne puisse être exploité.
"Suite au rapport de CyberInt et Check Point, nous avons engagé notre processus de réponse en matière de sécurité des produits pour remédier aux problèmes signalés ", a ainsi fait savoir Adrian Stone, directeur principal de la sécurité des jeux et des plateformes chez Electronic Arts.
La société recommande désormais aux utilisateurs d'activer l'authentification à deux facteurs et de faire attention aux messages non sollicités afin de renforcer la protection de leur compte.
Source ZDNet
Vous nous aimez, prouvez-le....