Check Point Software Technologies的威脅情報(bào)部門Check Point Research，今（7/1）日發(fā)表在EA旗下的游戲平臺(tái)Origin中發(fā)現(xiàn)了一系列漏洞，攻擊者可通過這些漏洞來盜取玩家的帳戶及身份。Check Point Software Technologies的威脅情報(bào)部門Check Point Research，今（7/1）日稱在EA旗下的游戲平臺(tái)Origin中發(fā)現(xiàn)了一系列漏洞，攻擊者可通過這些漏洞來盜取玩家的帳戶及身份。

作為全球第二大的游戲公司，EA旗下?lián)碛?，包括《FIFA》、《Madden NFL》、《NBA Live》、《模擬人生》、《戰(zhàn)地》等多款知名游戲，而這些游戲都使用Origin游戲平臺(tái)，允許玩家在個(gè)人電腦和移動(dòng)平臺(tái)上購買及暢玩EA游戲。Origin除了包含如個(gè)人資料管理、好友聊天聯(lián)系及立即加入游戲等網(wǎng)絡(luò)社群功能，還與Facebook、Xbox Live、PlayStation Network和任天堂（Nintendo Network）等平臺(tái)進(jìn)行了社群整合。

CyberInt和Check Point研究人員遵循協(xié)調(diào)的漏洞揭露原則，公布了EA的漏洞，讓EA能在攻擊者利用這些漏洞之前進(jìn)行修復(fù)并推出更新，這些漏洞包含允許攻擊者攔截玩家進(jìn)度，進(jìn)而入侵和接管玩家?guī)簟?

EA游戲及平臺(tái)安全資深總監(jiān)Adrian Stone表示：“保護(hù)玩家的安全是我們的首要任務(wù)。根據(jù)CyberInt和Check Point的報(bào)告，我們啟動(dòng)了產(chǎn)品安全回應(yīng)流程來修復(fù)報(bào)告中的問題。遵循協(xié)調(diào)的漏洞揭露原則，未來更將廣泛的與網(wǎng)絡(luò)安全社群攜手合作以強(qiáng)化彼此的關(guān)系，來保護(hù)EA游戲玩家免于惡意攻擊?！?

EA平臺(tái)中發(fā)現(xiàn)的漏洞未要求用戶提交任何登錄的詳細(xì)資訊。相反地，它是利用廢棄的子功能變數(shù)名稱和EA游戲使用的身份驗(yàn)證權(quán)限，結(jié)合內(nèi)建于EA用戶登錄過程中的OAuth單一登錄（SSO）和TRUST機(jī)制制造漏洞。

Check Point產(chǎn)品漏洞研究主管Oded Vanunu表示：“EA Origin平臺(tái)非常受歡迎，若這些漏洞不即時(shí)修復(fù)，黑客將攔截和利用數(shù)百萬用戶的帳戶；我們近期也在Epic Games的《堡壘之夜》游戲平臺(tái)中發(fā)現(xiàn)漏洞，證明了云端應(yīng)用極易遭受攻擊和破壞。擁有大量敏感用戶資料的這些平臺(tái)，也成為越來越多黑客的攻擊目標(biāo)?！?

CyberInt Technologies共同創(chuàng)辦人兼策略資深副總裁Itay Yanovski表示：“CyberInt提供不間斷、自動(dòng)化的前期監(jiān)測(cè)，從攻擊者的角度思考，如何幫助企業(yè)主動(dòng)采取措施保護(hù)其客戶和業(yè)務(wù)。游戲產(chǎn)品往往在暗網(wǎng)中的官方和非官方市場(chǎng)上進(jìn)行交易，因此攻擊游戲工作室的獲利極為豐厚。我們認(rèn)為網(wǎng)絡(luò)安全產(chǎn)業(yè)有責(zé)任保護(hù)用戶，通過對(duì)新發(fā)現(xiàn)的攻擊活動(dòng)（如最近的TA505）展開以威脅為中心的安全研究，為產(chǎn)業(yè)敲響安全警鐘，確保企業(yè)采取最有效的檢測(cè)和防御緩解措施?！?

Check Point和CyberInt強(qiáng)烈建議用戶啟用雙重因素身份驗(yàn)證，只在官方網(wǎng)站下載或購買游戲，并對(duì)于未知來源的連結(jié)始終保持警惕。此外，家長(zhǎng)也應(yīng)讓孩子意識(shí)到網(wǎng)絡(luò)詐騙的威脅，并警告他們網(wǎng)絡(luò)犯罪分子會(huì)不擇手段地獲取玩家線上帳戶中的個(gè)人和財(cái)務(wù)資訊。