據(jù)外媒報(bào)道，游戲服務(wù)出現(xiàn)安全漏洞不是什么新鮮事，日前，來(lái)自Check Point Research和CyberInt的研究人員就公開(kāi)了一個(gè)來(lái)自EA Origin服務(wù)的

據(jù)外媒報(bào)道，游戲服務(wù)出現(xiàn)安全漏洞不是什么新鮮事，日前，來(lái)自Check Point Research和CyberInt的研究人員就公開(kāi)了一個(gè)來(lái)自EA Origin服務(wù)的漏洞。Origin是EA推出的一個(gè)類Steam的數(shù)字發(fā)行平臺(tái)，由于它是在PC上獲得新發(fā)行EA游戲的唯一途徑，所以它擁有不少的用戶，目前已經(jīng)達(dá)到數(shù)百萬(wàn)。

Check Point Research和CyberInt在今天的一份報(bào)告中指出，這個(gè)漏洞可能已經(jīng)影響到來(lái)自世界各地多達(dá)3億的原始用戶。該漏洞允許黑客可以無(wú)需先盜取登錄憑證的情況下就能劫持原始賬戶。他們可以通過(guò)使用廢棄的子域名竊取身份驗(yàn)證令牌并利用OAuth單點(diǎn)登錄和EA登錄系統(tǒng)內(nèi)置的信任機(jī)制來(lái)訪問(wèn)這些帳戶。

今年早些時(shí)候，Check Point在《堡壘之夜》中發(fā)現(xiàn)了類似漏洞。實(shí)際上，這種攻擊利用了EA的微軟Azure帳戶中廢棄的子域名，然后以此創(chuàng)建看似合法的網(wǎng)絡(luò)釣魚鏈接。一旦受害者點(diǎn)擊了該鏈接，Check Point和CyberInt就可以得到他們的認(rèn)證令牌并劫持其賬戶，而無(wú)需登錄電子郵件或密碼。

不過(guò)Check Point和CyberInt在任何懷有惡意的行為者能夠利用該漏洞之前就提醒了EA，這使得后者能夠利用這兩家公司提供的信息關(guān)閉這一漏洞。很顯然，這對(duì)于EA和Origin用戶來(lái)說(shuō)是一個(gè)好消息。

關(guān)鍵詞： EA Origin 漏洞 登錄憑證