近日,研究人员在 EA 旗下 PC 游戏平台 Origin 中发现了一个非常严重的漏洞,超过3亿玩家都曾受到这一漏洞的影响,而玩家开启二步验证外也不能完全逃脱漏洞的影响。
Check Point 和 CyberInt 的研究人员表示,这一漏洞可以让黑客轻松登入用户的账户,而无需窃取用户名和密码。据悉,黑客可以直接通过取得登录授权令牌而完全控制用户的账户。这些令牌是系统用于保持用户登录而生成的代码,并且通常比用户密码更难窃取。
研究人员介绍到,他们是通过控制在 Microsoft Azure 云服务中托管的不活跃 EA 子域来实现窃取令牌的。在获得对网站的控制之后,他们将页面变成了钓鱼页面,向玩家发送看似真实的恶意页面。而由于这些钓鱼链接来自官方 EA 域名,玩家不太可能怀疑它们,而页面中嵌入的代码会窃取身份验证令牌并将其发送给研究人员。
幸运的是,研究人员早黑客一步发现了这一漏洞,而 EA 在被告知这一漏洞后也进行了紧急处理,目前玩家已经无需担心这一问题,也希望 EA 今后多加强自己域名的安全性。
评论区
共 28 条评论热门最新