专栏名称: 看雪学苑
致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号。
今天看啥  ›  专栏  ›  看雪学苑

黑客可随意访问EA公司7亿用户账号

看雪学苑  · 公众号  · 互联网安全  · 2024-11-07 17:56

文章预览

据网络安全媒体Cyber News报道,Electronic Arts(EA)遭遇了一起严重的安全漏洞事件。白帽黑客Sean Kahler揭露了这一漏洞,该漏洞使得攻击者能够非法访问EA的近7亿用户账户,包括他们的游戏统计数据。 Kahler最初在一款游戏的可执行文件中发现了硬编码的凭证,这使他得以进入EA的开发人员测试环境,并获得了特权访问令牌。通过进一步的扫描和探索,Kahler发现了一个暴露的内部服务,该服务拥有暴露的API,这成为了此次安全事件的核心。 EA的内部API允许对玩家配置文件进行修改,这些配置文件被称为“角色”。Kahler最初通过这个API将账户状态更改为“禁止”,阻止用户登录游戏。此外,该API还允许将Steam账户与另一个EA账户关联。 Kahler意识到,通过将账户链接转移到任意EA账户,他可以登录到这些链接账户,进而访问任何EA账户。同样,通过将Xbox账户 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览