Sicherheitsforscher von CyberInt und Check Point haben eine Schwachstelle im von Electronic Arts (EA) entwickelten Origin Gaming Client entdeckt. Wäre die Schwachstelle ausgenutzt worden, wären weltweit mehr als 300 Millionen EA-Spieler gefährdet gewesen.
Die in der EA-Plattform gefundene Schwachstelle erforderte nicht einmal, dass der Benutzer irgendwelche Zugangsdaten herausgibt. Stattdessen nutzte sie stillgelegte Subdomains und die Verwendung von Authentifizierungstoken durch EA Games in Verbindung mit der im Benutzeranmeldeprozess integrierten Authentifizierung per Single Sign-On (SSO) und des TRUST-Mechanismus.
CyberInt und Check Point haben die Schwachstelle gegenüber EA offengelegt, um sie möglichst schnell zu beheben und ein Update durchzuführen – bevor Cyberkriminelle sie ausnutzen konnten. Die beiden Unternehmen bündelten ihre Expertise, um EA bei der Entwicklung von Lösungen zum weiteren Schutz der Gaming-Community zu unterstützen. Die Schwachstelle, die EA geschlossen hat, hätte es einem Bedrohungsakteur ermöglichen können, die Sitzung eines Spielers zu kapern, was zu einer Gefährdung sowie Übernahme des Kontos hätte führen können.
„EAs Origin-Plattform ist sehr beliebt; und wenn sie nicht gepatcht wäre, hätte diese Schwachstelle Angreifern ermöglicht, Millionen von Benutzerkonten zu entführen und auszunutzen“, erklärt Oded Vanunu, Head of Products Vulnerability Research bei Check Point.
