Το Origin της EA είναι μία από τις πολλές διαφορετικές πλατφόρμες που υπάρχουν για διανομή παιχνιδιών. Διαθέτει τίτλους όπως τη σειρά Dragon Age, το The Sims, και το Battlefield. Δυστυχώς, το μεγάλο πλήθος χρηστών κάνει την πλατφόρμα βασικό στόχο παραβιάσεων ασφαλείας.
Η EA διόρθωσε το θέμα που υπήρχε, παρόλο που αυτό άφησε περίπου 300 εκατομμύρια λογαριασμούς χρηστών εκτεθειμένους.
Αντί να συλλέγει ονόματα και κωδικούς χρηστών, το exploit θα επέτρεπε στους hackers να εισέλθουν σε λογαριασμούς χρησιμοποιώντας αναγνωριστικά Single Sign-On. Αυτά λειτουργούν παρόμοια με τα password, δημιουργώντας νέους κωδικούς που επιτρέπουν στους παίκτες την πρόσβαση στο λογαριασμό τους. Δεν είναι η πρώτη φορά που παρατηρείται μια τέτοια αδυναμία, καθώς νωρίτερα αυτό το έτος διαπιστώθηκε κάτι παρόμοιο και στο Fortnite.
Πολλοί έχουν στραφεί στην κλοπή αυτών των αναγνωριστικών (tokens), αντί να χρησιμοποιούν τεχνικές ηλεκτρονικού “ψαρέματος”, που οδηγούν τους χρήστες να δώσουν τα στοιχεία τους σε ψεύτικες ιστοσελίδες. Η χρήση κακόβουλου κώδικα είναι αρκετή για να πάρουν τις πληροφορίες και να τις παρέχουν σε ομάδες τρίτων.
Ο τεχνικός διευθυντής και ιδρυτής του Bugcrowd, Casey Ellis σχολίασε την κατάσταση ως εξής:
Τα καλά νέα είναι ότι πρόκειται για αδυναμία, όχι μια επιβεβαιωμένη παραβίαση. Η EA ειδοποιήθηκε για την κρισιμότητά της πριν την εκμεταλλευτούν κακόβουλοι φορείς.
Εταιρείες του gaming όπως η EA, έχουν την τάση να αναπτύσσονται γρήγορα όταν τα παιχνίδια τους αποδίδουν στην αγορά, και η ταχύτητα στην προώθηση είναι ο φυσικός εχθρός της ασφάλειας. Οι προσπάθειες στην ασφάλεια απλά δε μπορούν να συμβαδίσουν, συχνά ούτε που λαμβάνονται υπόψιν, στον κύκλο ζωής της ανάπτυξης του λογισμικού.
Πρόκειται για μια ενδιαφέρουσα αλυσίδα από αδυναμίες, που εκμεταλλεύονται θέματα που βλέπουμε συχνά στο πρόγραμμα του Bugcrowd: Προβλήματα στην υλοποίηση της επαλήθευσης (authentication), ειδικά γύρω από το SAML και κατειλημμένα/απομονωμένα domains.
Αυτή η είδηση δείχνει απλά ότι η ενασχόληση με την κοινότητα των whitehat hackers για την ανακάλυψη επιφανειών επίθεσης, και η διατήρηση του κύκλου ανατροφοδότησης σε συνεχή βάση, είναι ο μόνος τρόπος να εντοπιστούν τέτοια ζητήματα παράλληλα με την αναπόφευκτη εμφάνισή τους.