Origin-accounts waren via subdomein van EA Games te kapen
Accounts van het gamingplatform Origin waren te kapen via een subdomein van EA Games, zo ontdekten onderzoekers van securitybedrijf Check Point en CyberInt. Om de aanval uit te voeren volstond het om een ingelogde Origin-gebruiker een kwaadaardig subdomein van EA.com te laten bezoeken.
Er was geen verdere interactie vereist. Origin is het gamingplatform van EA Games dat allerlei games aanbiedt. Gebruikers kunnen vanuit hun account allerlei aankopen doen. De aanval van de onderzoekers maakte misbruik van authenticatietokens in combinatie met oAuth Single Sign-On (SSO) en het vertrouwensmechanisme dat in het inlogproces van Origin is ingebouwd.
EA Games maakt gebruik van Microsoft Azure om domeinen te hosten, zoals ea.com en origin.com. Het bedrijf maakt voor verschillende diensten gebruik van aparte subdomeinen. Zo wees het subdomein eaplayinvite.ea.com naar ea-invite-reg.azurewebsites.net, wat de gewenste dienst in de achtergrond draait. In dit geval een webserver. De onderzoekers ontdekten dat ea-invite-reg.azurewebsites.net niet meer in gebruik was, maar dat eaplayinvite.ea.com hier nog steeds naar wees.
Ze registreerden ea-invite-reg.azurewebsites.net, waardoor ze hun code op eaplayinvite.ea.com konden laten uitvoeren. Tussen ea.com en origin.com blijkt een vertrouwensmechanisme te zijn. Door een kwaadaardig iframe op eaplayinvite.ea.com te plaatsen konden de onderzoekers authenticatietokens van gebruikers spelen, waarmee er vervolgens op hun Origin-account kon worden ingelogd. De enige voorwaarde was wel dat gebruikers naar het subdomein werden gelokt. Na te zijn ingelicht door de onderzoekers kwam EA Games met een oplossing.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.