EA исправляет ошибку автоматического входа в систему, которая разрешает доступ к настройкам учетной записи пользователя Origin

В начале этого месяца EA выпустила обновление для Origin, чтобы исправить ошибку, которая позволяла третьим сторонам собирать информацию пользователя из панели настроек через URL-адрес автозапуска EA Origin.

 

Ошибка позволила получить доступ к данным учетной записи, когда пользователи вошли в свой клиент Origin и попросили изменить их учетную запись на EA.com.

Когда пользователь запрашивает доступ таким образом, URL автозагрузки появляется со «токеном, который в основном эквивалентен вашему активному имени пользователя и паролю».

Исследователь, который по имени Борода онлайн, объяснил, что злоумышленник может использовать этот URL автозамены, чтобы получить информацию о пользователе через панель настроек. Это не только включает фактическое имя игрока, но и последние четыре цифры их кредитной карты, номер телефона и другую информацию об учетной записи.

Борода отметила, что часть информации может оказаться бесполезной для хакера, если только сторона не смогла угадать вопрос безопасности пользователя Origin и взять на себя учетную запись.

Опасность с этой ошибкой была более распространена, когда пользователи Origin вошли в систему клиента, используя незащищенную общедоступную сеть WiFi. Общественные сети, используемые в качестве примера, включали интернет-кафе, игровые соглашения и соревнования по спорту.

«Я изначально обнаружил ошибку 1 октября», — сказала Борода ZDNet в интервью .

«Если вы находитесь в незащищенной сети или точке доступа WiFi; например, в кафе или гостинице, кто-то может легко захватить эти маркеры с автозаменами и в основном войти в систему в качестве конечного пользователя, который запросил эти токен-ссылки ».

Борода отметила, что токены входа обычно привязаны к IP-адресу пользователя или сохраненному файлу cookie, но это было «не так» с URL-адресом автозапуска EA Origin.

Когда он был достигнут для комментариев, представитель EA подтвердил, что исправление было применено в начале ноября, и оно не обнаружило случаев несанкционированного использования или доступа к данным подписчика.

Дорогой друг! Тебе есть что сказать? Понравился пост? Не стесняйся! Оставь комментарий, нам очень важно ТВОЕ мнение

Автор записи: Stephany Nunneley

Оставить комментарий

  Подписаться  
Уведомление о