Pesquisadores descobriram uma falha de segurança na plataforma original de distribuição de videogames da EA Games, que permitia que um atacante assumisse as contas dos jogadores.
A falha, que no momento da publicação deste post já havia sido corrigida, foi descoberta na Origin, uma plataforma com mais de 300 milhões de usuários desenvolvida pela Electronic Arts (EA) em que os usuários jogam e compram os jogos da empresa, como Apex Legends ou FIFA, entre outros. Através desta plataforma, os usuários podem gerenciar suas contas e perfis, se comunicar com amigos por meio de um chat e participar de jogos em uma comunidade que inclui o Xbox Live, PlayStation Network e Nintendo Network, entre outros.
De acordo com especialistas das empresas de segurança Check Point e CyberInt, quando a vulnerabilidade estava presente na plataforma, um atacante só precisava enganar os usuários e convencê-los a abrir um site oficial da EA Games para roubar sua conta. Não era necessário que o usuário fornecesse informações sobre as credenciais de acesso usadas para efetuar login.
Isso era possível porque os atacantes poderiam se aproveitar de uma antiga vulnerabilidade não corrigida no serviço de nuvem do Microsoft Azure, que permitia sequestrar um subdomínio da EA que já havia sido registrado no Azure para hospedar um dos serviços da Origin.
Como o portal TheHackerNews explica, se o DNS de um domínio aponta para a plataforma de nuvem do Azure, mas não foi configurado ou associado a um usuário ativo do Azure, qualquer outro usuário do Azure pode sequestrar a conta para colocar esse subdomínio em seu servidor do Azure.
Os pesquisadores realizaram um ataque como parte de uma Prova de Conceito (PoC) e sequestraram um subdomínio que estava inativo sob a URL "eaplayinvite.ea.com" e conseguiram hospedar um script no domínio que explorou a falha de segurança no início de sessão única (SSO, sigla em inglês) do oAuth e no mecanismo TRUST incluído no processo de login dos usuários da EA Games.
Desta forma, eles converteram um domínio inativo em um site de phishing. Desta forma, eles poderiam enviar o site malicioso para os jogadores e, uma vez que se tratava de um domínio da EA Games, não geraria suspeitas. O código embutido no site tinha a capacidade de roubar os tokens SSO de acesso da EA e, deste modo, o atacante obteria as credenciais da conta da vítima e teria a capacidade de roubar não apenas os acessos, mas também as informações contidas, como dados de cartões de crédito e a possibilidade de realizar compras dentro do jogo.