Уязвимость в клиенте EA Origin раскрывает данные игроков

В платформе цифровой дистрибуции Electronic Arts Origin обнаружена уязвимость, позволяющая сторонним лицам получить доступ к информации на панели настроек игроков, такой как имена, четыре последние цифры банковских карт, последние цифры номера телефона, история заказов и пр.

Проблема связана с функцией автоматического входа в учетные записи на сайтах EA из Origin. При запросе платформа выдает URL для входа, где токен представлен в виде активных логина и пароля пользователя. Подобный функционал реализован во множестве десктопных и web-приложений, но, как правило, автоматический вход в них привязан к файлам cookie или IP-адресу, уже зарегистрированным на имя пользователя.

Однако в случае с EA Origin автовход работал вне зависимости от используемого браузера или IP-адреса. По словам обнаружившего проблему исследователя, известного в Сети как Beard, в случае использования незащищенной сети или точки доступа Wi-Fi (например, в гостинице или кафе) злоумышленник может перехватить URL для автовхода и авторизоваться в учетной записи под видом жертвы. Кроме того, данная уязвимость может пригодиться операторам IoT-ботнетов для массового сбора учетных данных пользователей. Некоторая информация окажется бесполезной для мошенников, но если им удастся угадать секретный вопрос, злоумышленники смогут перехватить контроль над аккаунтом и использовать его для покупки новых игр.

Специалист уже проинформировал Electronic Arts об уязвимости. Сейчас компания работает над соответствующим патчем.