EA爆資安漏洞 全球3億遊戲玩家面臨資訊外洩風險

Check Point Research 威脅情報部門與網路安全領導廠商 CyberInt，在 EA 美商藝電遊戲平台 Origin 中發現了一系列漏洞，攻擊者可透過這些漏洞來盜取玩家的帳戶及身份。

EA 是全球第二大的遊戲公司，擁有《國際足盟大賽FIFA》、《勁爆美式足球Madden NFL》、《NBA Live》、《模擬市民》、《戰地風雲》等多款知名遊戲，而這些遊戲都使用 Origin 遊戲平台，允許玩家在個人電腦和行動裝置上購買及暢玩 EA 遊戲。

Origin 除了包含如個人資料管理、好友聊天聯繫及立即加入遊戲等網路社群功能，還與 Facebook、Xbox Live、PlayStation Network 和任天堂（Nintendo Network）等平台進行了社群整合。

CyberInt 和 Check Point 研究人員遵循協調的漏洞揭露原則（Coordinated Vulnerability Disclosure），公佈了 EA 的漏洞，讓 EA 能在攻擊者利用這些漏洞之前進行修復並推出更新，這些漏洞包含允許攻擊者攔截玩家進度，進而入侵和接管玩家帳戶。CyberInt 和 Check Point 結合專業知識支援EA開發修復軟體，進一步加強對遊戲社群的保護。

EA遊戲及平台安全資深總監Adrian Stone表示：「保護玩家的安全是我們的首要任務。根據CyberInt和Check Point的報告，我們啟動了產品安全回應流程來修復報告中的問題。遵循協調的漏洞揭露原則，未來更將廣泛的與網路安全社群攜手合作以強化彼此的關係，來保護EA遊戲玩家免於惡意攻擊。」

EA平台中發現的漏洞未要求用戶提交任何登錄的詳細資訊。相反地，它是利用廢棄的子功能變數名稱和 EA 遊戲使用的身份驗證權限，結合內建於 EA 用戶登錄過程中的 OAuth 單一登錄（SSO）和 TRUST機制製造漏洞。

Check Point 和 CyberInt 強烈建議用戶啟用雙重因素身份驗證，只在官方網站下載或購買遊戲，並對於未知來源的連結始終保持警惕。此外，家長也應讓孩子意識到網路詐騙的威脅，並警告他們網路犯罪分子會不擇手段地獲取玩家線上帳戶中的個人和財務資訊。

圖片及資料來源：Check Point

《原文刊登於合作媒體三嘻行動哇，聯合新聞網獲授權轉載。》