חוקרי הסייבר של חברת צ'ק פוינט ושל חברת סייברינט איתרו במשותף חולשות אבטחה חמורות בפלטפורמת המשחקים הפופלרית של חברת אלקטרוניק ארטס (EA), כך נחשף היום (רביעי) על ידי החוקרים. ניצול חולשות אלה, שתוקנו לאחר דיווח מסודר לחברה, היו מאפשרות גניבת מידע אישי והשתלטות על חשבונות של משתמשי הפלטפורמה, הנאמדים ביותר מ-300 מליון איש ברחבי העולם.
חטיבת המשחקים של EA, EA GAMES מחזיקה בפלטפורמת משחקי המחשב השנייה בגודלה בעולם והיא מחזיקה במשחקים פופולריים מאד ובהם FIFA, MADDEN NFL, NBA LIVE, BATTLEFIELD, COMMAND AND CONQUER ועוד.
הפלטפורמה נקראת אוריג׳ין, והיא מבוססת על חשבונות אישיים של משתמשים המאפשרים להם לשחק במשחקים באמצעות מחשבים וטלפונים ניידים וכן לרכוש מוצרים הקשורים למשחקים. החשבונות הללו מאפשרים לייצר קשרים בין שחקנים שונים, לדבר אחד עם השני וליהנות מחווית המשחק, וזאת באמצעות הפלטפורמה וקישורים שלה לחשבונות פייסבוק, פלייסטיישן, נינטנדו, אקס-בוקס ועוד. החולשות שאיתרו החוקרים מאפשרות השתלטות מוחלטת על החשבונות האישיים של משתמשי המשחקים בפלטפורמה, וכן על הפרטים האישיים של המשתמש, הכוללים גם את פרטי כרטיס האשראי שלו, והנתונים על המשתמשים האחרים שמשחקים איתו.
החולשות אותרו בתהליך הרישום והזיהוי במשחקים בפלטפורמה המפעילה אותם, בדגש על מתודולוגיית אימות הזהות של המשתמש בכניסתו למשחק באמצעות פרטי חשבונות הפייסבוק/גוגל/XBOX/PLAYSTATION/NINTENDO. לאחר התחברות מוצלחת, מונפק למשתמש טוקן ייחודי שמשמש אותו לצורך הזדהות בעת ההתחברות למשחק הרשת בפלטפורמה שנבחרה. החולשות מנוצלות לתקיפה באמצעות לחיצה של המשתמש על לינק ייעודי ששולח התוקף ומגיע, לכאורה, מהדומיין של המשחק. הדבר נראה למשתמש עצמו כפעולה תמימה ונורמלית לחלוטין. עם הלחיצה על הלינק, התוקף משיג את פרטי אימות הזהות של המשתמש, וזאת מבלי שהמשתמש הקליד אותם בעצמו. EA הודו בקיום הפרצות, תיקנו אותן והוציאו עדכון אבטחה שטיפל בחולשות הללו קודם לפרסום המחקר היום.
החולשות אותרו בתהליך הרישום והזיהוי במשחקים בפלטפורמה המפעילה אותם, בדגש על מתודולוגיית אימות הזהות של המשתמש בכניסתו למשחק באמצעות פרטי חשבונות הפייסבוק/גוגל/XBOX/PLAYSTATION/NINTENDO. לאחר התחברות מוצלחת, מונפק למשתמש טוקן ייחודי שמשמש אותו לצורך הזדהות בעת ההתחברות למשחק הרשת בפלטפורמה שנבחרה. החולשות מנוצלות לתקיפה באמצעות לחיצה של המשתמש על לינק ייעודי ששולח התוקף ומגיע, לכאורה, מהדומיין של המשחק. הדבר נראה למשתמש עצמו כפעולה תמימה ונורמלית לחלוטין. עם הלחיצה על הלינק, התוקף משיג את פרטי אימות הזהות של המשתמש, וזאת מבלי שהמשתמש הקליד אותם בעצמו. EA הודו בקיום הפרצות, תיקנו אותן והוציאו עדכון אבטחה שטיפל בחולשות הללו קודם לפרסום המחקר היום.
אדריאן סטון, דירקטור בכיר ביחידת אבטחת הפלטפורמה והמשחקים ב EA GAMES אמר נוכח הממצאים כי "הגנה על המשתמשים בפלטפורמה הינה בעדיפות עליונה עבורנו. המחקר המשותף של סייברינט וצ'ק פוינט אפשר לנו לטפל בחולשות שנמצאו, והפעילות ברוח שיתוף הפעולה בין כולנו מחזק את האחריות המשותפת של קהילת הגנת הסייבר – כלי חשוב ביותר בהגנת שחקני משחקי מחשב".
עודד ואנונו, ראש מחלקת חולשת מוצרים בצ'ק פוינט ציין: "החולשות שמצאנו בפלטפורמת המשחקים הזו, והחולשות שמצאנו בפלטפורמת המשחקים של פורטנייט, מוכיחות עד כמה אפלקיציות ענן ורשת חשופות לחולשות ולפרצות. הפלטפורמות הללו הן יעדים מבוקשים של האקרים בשל הרגישות הגדולה של המידע אותן הן צוברות על מאות מיליוני משתמשים ברחבי העולם".
איתי ינובסקי, מייסד וסגן נשיא בכיר לאסטרטגיה בסייברינט הוסיף כי "משחקי המחשב הפכו לסוג של סחורה בשווקים רשמיים ולא רשמיים ברשת האפלה, ולכן התקפות כנגד פלטפורמות המשחקים הופכות משתלמות יותר עבור האקרים. מדובר בשילוב של חולשת אבטחה בניהול תת-דומיינים וניצול תהליך הזדהות המשתמש, על מנת להשתלט על חשבונותיו. אנחנו מאמינים שלתעשיית הגנת הסייבר אחריות בהגנה על צרכנים ולכן אנו מתריעים בפני קמפיינים התקפיים שכאלו, כמו ה-TA505".
צ'ק פוינט וסייברינט ממליצות למשתמשים בפלטפורמות דיגיטליות להשתמש בזיהוי דו שלבי כאמצעי הגנה למניעת גניבות חשבון ושמירה על הפרטיות. הורים נדרשים לפתח מודעות בקרב ילדיהם על האיום הקיים במשחקים אלו מצד האקרים ולנקוט במשנה זהירות ביחס לפרטים אישיים וכרטיס אשראי. כמו כן, על המשתמשים לבחון את מידת הלגיטימיות של הלינקים עליהם הם לוחצים ובאילו אתרים הם משאירים את פרטיהם האישיים.