Sicherheits-Lücke bei EA gefährdete 300 Mio. Gamer von FIFA 19, Anthem

Eine Security-Firma hat eine Sicherheitslücke bei Electronic Arts entdeckt. Hacker hätten sich über die Plattform Origin den Zugang zu 300 Millionen Accounts von Gamern erschleichen können, um fiese Dinge zu machen. Das betrifft Spiele wie Anthem, FIFA 19, Battlefield 5 oder die Sims. EA soll die Lücke mittlerweile geschlossen haben.

Wo kommt diese Information her? Die kommt von den Sicherheits-Experten, Check Point Research (Via research.checkpoint). Sie haben in diesem Fall mit CyberInt zusammengearbeitet.

Die tun so, als wären sie selbst Hacker, und suchen nach Schwachstellen in den großen Anlagen bei Firmen. Sie dringen in die Systeme ein und schauen, wie weit Hacker kämen, wenn sie ernst meinten und mit wieviel Widerstand sie zu rechnen hätten.

Sie sagen: Durch eine Sicherheitslücke bei Origin hätten Angreifer Millionen von Accounts hacken können. Die Bösewichte wären dann dazu in der Lage gewesen, auf die Kreditkarten-Informationen zuzugreifen und falsche Käufe zu tätigen.

Über Origin nutzen bis zu 300 Millionen Gamer die zahlreiche Online-Spiele von EA wie FIFA 19, Madden NFL, NBA Live, Anthem oder die Sims.

Von so einer Schwachstelle sind also – zumindest in der Theorie – sehr viele Menschen weltweit betroffen.

Derartige Schwachstellen im Launcher wurden schon häufiger aufgespürt – auch im Battle.Net von Blizzard.

Anthem-Fake-Page
So hätte eine falsche Seite ausgesehen, über die man dann Daten abgegriffen hätte, sagen die Sicherheitsexperten.

So reagierte EA: Laut Check Point Research hat man Electronic Arts über diese Schwachstelle informiert, bevor man sie öffentlich machte, und EA dabei geholfen, die Sicherheitslücken zu schließen.

Wie funktionierte der Hack? Die Sicherheitslücke funktionierte ähnlich wie bei Fortnite, wo Check Point Research eine ähnliche Schwachstelle aufgedeckt hat.

Die Tester bemerkten, dass bestimmte ausgemusterte Dienste bei EA existieren, die zwar nicht mehr genutzt werden, aber noch funktionieren. So konne man die Subdomain „eaplayinvite“ übernehmen und dann die Anfragen von „echten Nutzern“ sehen.

Von diesem Brückenkopf aus fing das Team an, die Sicherheitsmaßnahmen von EA auseinanderzunehmen und sich immer weiter ins das System vorzuarbeiten.

Letztlich war man in der Lage, „echte Spieler von EA“ auf falsche Webseiten zu lotsen und hätte sich so die Daten erschleichen können.

Experten finden Sicherheits-Lücke in Fortnite, die 80 Millionen betraf
Autor(in)
Quelle(n): Checkpoint Research
Deine Meinung?
Level Up (6) Kommentieren (12)
Passwort vergessen

Bitte gib Deinen Benutzernamen oder Deine Email-Adresse ein. Du erhälst einen Link, um ein neues Passwort per Email zu erstellen.