Check Point Software Technologies的威脅情報部門Check Point Research，今（7/1）日發(fā)表在EA旗下的游戲平臺Origin中發(fā)現(xiàn)了一系列漏洞，攻擊者可通過這些漏洞來盜取玩家的帳戶及身份。Check Point Software Technologies的威脅情報部門Check Point Research，今（7/1）日稱在EA旗下的游戲平臺Origin中發(fā)現(xiàn)了一系列漏洞，攻擊者可通過這些漏洞來盜取玩家的帳戶及身份。

作為全球第二大的游戲公司，EA旗下?lián)碛校ā禙IFA》、《Madden NFL》、《NBA Live》、《模擬人生》、《戰(zhàn)地》等多款知名游戲，而這些游戲都使用Origin游戲平臺，允許玩家在個人電腦和移動平臺上購買及暢玩EA游戲。Origin除了包含如個人資料管理、好友聊天聯(lián)系及立即加入游戲等網(wǎng)絡(luò)社群功能，還與Facebook、Xbox Live、PlayStation Network和任天堂（Nintendo Network）等平臺進行了社群整合。

CyberInt和Check Point研究人員遵循協(xié)調(diào)的漏洞揭露原則，公布了EA的漏洞，讓EA能在攻擊者利用這些漏洞之前進行修復并推出更新，這些漏洞包含允許攻擊者攔截玩家進度，進而入侵和接管玩家?guī)簟?

EA游戲及平臺安全資深總監(jiān)Adrian Stone表示：“保護玩家的安全是我們的首要任務(wù)。根據(jù)CyberInt和Check Point的報告，我們啟動了產(chǎn)品安全回應(yīng)流程來修復報告中的問題。遵循協(xié)調(diào)的漏洞揭露原則，未來更將廣泛的與網(wǎng)絡(luò)安全社群攜手合作以強化彼此的關(guān)系，來保護EA游戲玩家免于惡意攻擊?！?

EA平臺中發(fā)現(xiàn)的漏洞未要求用戶提交任何登錄的詳細資訊。相反地，它是利用廢棄的子功能變數(shù)名稱和EA游戲使用的身份驗證權(quán)限，結(jié)合內(nèi)建于EA用戶登錄過程中的OAuth單一登錄（SSO）和TRUST機制制造漏洞。

Check Point產(chǎn)品漏洞研究主管Oded Vanunu表示：“EA Origin平臺非常受歡迎，若這些漏洞不即時修復，黑客將攔截和利用數(shù)百萬用戶的帳戶；我們近期也在Epic Games的《堡壘之夜》游戲平臺中發(fā)現(xiàn)漏洞，證明了云端應(yīng)用極易遭受攻擊和破壞。擁有大量敏感用戶資料的這些平臺，也成為越來越多黑客的攻擊目標。”

CyberInt Technologies共同創(chuàng)辦人兼策略資深副總裁Itay Yanovski表示：“CyberInt提供不間斷、自動化的前期監(jiān)測，從攻擊者的角度思考，如何幫助企業(yè)主動采取措施保護其客戶和業(yè)務(wù)。游戲產(chǎn)品往往在暗網(wǎng)中的官方和非官方市場上進行交易，因此攻擊游戲工作室的獲利極為豐厚。我們認為網(wǎng)絡(luò)安全產(chǎn)業(yè)有責任保護用戶，通過對新發(fā)現(xiàn)的攻擊活動（如最近的TA505）展開以威脅為中心的安全研究，為產(chǎn)業(yè)敲響安全警鐘，確保企業(yè)采取最有效的檢測和防御緩解措施?！?

Check Point和CyberInt強烈建議用戶啟用雙重因素身份驗證，只在官方網(wǎng)站下載或購買游戲，并對于未知來源的連結(jié)始終保持警惕。此外，家長也應(yīng)讓孩子意識到網(wǎng)絡(luò)詐騙的威脅，并警告他們網(wǎng)絡(luò)犯罪分子會不擇手段地獲取玩家線上帳戶中的個人和財務(wù)資訊。