EA:已修复影响3亿玩家的Origin游戏效劳破绽

2019-07-01 作者:admin_xy   |   浏览(135)

IT之家

6月30日音讯 不久前,平安研讨人员发现了来自Electroni

c Arts的Origin游戏平台中的破绽,这些破绽本可以让攻击者接收多达3亿用户的帐户。目前EA表示曾经修复了该成绩。

此前Check Point 和CyberInt的研讨人员发现了一些Origin游戏平台的成绩,他们的一个子域名被重定向到微软Azure云计算效劳上的一个废弃主机,任何人都可以收费注册。这似乎是EA游戏公司的忽略。

“通常,基于云的公司提供的每项效劳都在一个独一的子域名地址上注册,例如eaplayinvite.ea.com,并且具有指向特定云供给商主机的DNS指针 ,如下图,ea-invite-reg.azurewebsites.net,它在后台运转所需的效劳,在这种状况下

是一个Web使用顺序效劳器。“

由于它已不再运用,研讨人员可以将“ea-invite-reg.azurewebsites.net”注册为Azure上本人的Web使用顺序效劳的称号。由于CNAME记载仍处于活动形态,研讨人员经过“eaplayinvite.ea.com”收到了EA用户提出的一切恳求。

虽然劫持子域名缺乏以招致帐户接收攻击,但它协助研讨人员寻觅一种方式来应用这种拜访方式,使黑客受害。该破绽不需求用户移交任何登录详细信息,而是应用身份验证令牌以及EA游戏用户登录进程中内置的oAuth单点登录和TRUST机制。攻击者可以应用一系列“破绽”来攻击FIFA,Maden NFL,NBA Live,UFC,模仿人生以及荣誉勋章等游戏玩家。

关键词: 股票配资, 易配资,