Vervallen domeinnaam maakt gameplatform EA kwetsbaar

Origin © PVL
Pieterjan Van Leemputten

Het gameplatform Origin, van EA, was enige tijd kwetsbaar voor hackers. De spelgigant vergat een oude domeinnaam te verwijderen waardoor het mogelijk was om nieuwe accounts te onderscheppen.

Origin is het cloudplatform waar EA-games kunnen worden gekocht en gedownload en waar spelers kunnen connecteren met hun vrienden. Beveiligingsbedrijven Check Point en CyberInt ontdekten echter een vergetelheid waardoor de gegevens van gamers kunnen worden onderschept.

EA maakt voor Origin gebruik van Microsoft Azure waar verschillende domeinen van het bedrijf worden gehost. Ook de services die het aanmaken van spelaccounts en de verbinding met Origin verzorgen draaien daar.

De kwetsbaarheid gaat specifiek over de URL eaplayinvite.ea.com. Wie via dat subdomein een account aanmaakt, wordt verbonden met ea-invite-reg.azurewebsites.net, de service van EA in de Azure-cloud.

Check Point en CyberInt ontdekten dat ea-invite-reg.azurewebsites.net niet langer in gebruik was, maar dat EA’s eigen website (eaplayinvite.ea.com) nog wel doorverwees naar de service. Daarop registreerden de beveiligingsbedrijven met hun eigen Azure-account ea-invite-reg.azurewebsites.net opnieuw. Daardoor zou iedereen die registreert via eaplayinvite.ea.com, worden doorverwezen naar een Azure-dienst die niet meer in handen is van EA. Wie op dat moment gegevens op dat subdomein van EA invult, geeft ze in praktijk aan de eigenaar van de Azure-dienst (in dit geval de twee beveiligingsbedrijven).

Volgens Check Point was het ook mogelijk om accounts van spelers te onderscheppen. Het beveiligingsbedrijf bestudeerde hoe de inlogprocedure verliep doorheen verschillende platformen van EA en Origin en slaagde er in om, na enkele omwegen, geldige tokens te genereren. Onder meer via een Iframe op de gekaapte eaplayinvide.ea.com.

EA zelf werd op de hoogte gebracht en het probleem is intussen opgelost. Gezien beide beveiligingsbedrijven de service zelf konden registreren, zijn er hoogstwaarschijnlijk geen echte gegevens onderschept geweest door criminelen.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content