Check Point揭露游戏平台重大安全漏洞

Check Point Software Technologies Ltd.的威胁情报部门Check Point Research，以及CyberInt，在美商艺电旗下的游戏平台Origin中发现一系列漏洞，攻击者可透过这些漏洞来盗取玩家的帐户及身份。

作为全球第二大的游戏公司，EA旗下拥有的游戏包括《国际足盟大赛FIFA》、《劲爆美式足球Madden NFL》、《NBA Live》、《模拟市民》、《战地风云》等多款知名家用游戏，而这些游戏都使用Origin游戏平台，允许玩家在个人电脑和移动设备上购买及畅玩EA游戏。Origin除了包含如个人数据管理、好友聊天联系及立即加入游戏等网络社群功能，还与Facebook、Xbox Live、PlayStation Network和任天堂等平台进行了社群整合。

CyberInt和Check Point研究人员遵循协调的漏洞揭露原则，公布了EA的漏洞，让EA能在攻击者利用这些漏洞之前进行修复并推出更新，这些漏洞包含允许攻击者拦截玩家进度，进而入侵和接管玩家帐户。CyberInt和Check Point结合专业知识支持EA开发修复软件，进一步加强对游戏社群的保护。

EA游戏及平台安全资深总监Adrian Stone表示，保护玩家的安全是我们的首要任务。根据CyberInt和Check Point的报告，启动了产品安全回应流程来修复报告中的问题。遵循协调的漏洞揭露原则，未来更将广泛的与网络安全社群携手合作以强化彼此的关系，来保护EA游戏玩家免于恶意攻击。

EA平台中发现的漏洞未要求用户提交任何登录的详细信息。相反地，它是利用废弃的子功能变量名称和EA游戏使用的身份验证权限，结合内建于EA用户登录过程中的OAuth单一登录和TRUST机制制造漏洞。

Check Point产品漏洞研究主管Oded Vanunu表示，EA Origin平台非常受欢迎，若这些漏洞不实时修复，黑客将拦截和利用数百万用户的帐户；近期也在Epic Games的《要塞英雄》游戏平台中发现漏洞，证明了云端应用极易遭受攻击和破坏。拥有大量敏感用户数据的这些平台，也成为越来越多黑客的攻击目标。

Check Point和CyberInt强烈建议用户启用双重因素身份验证，只在官方网站下载或购买游戏，并对于未知来源的连结始终保持警惕。此外，家长也应让孩子意识到网络诈骗的威胁，并警告他们网络犯罪分子会不择手段地获取玩家在线帐户中的个人和财务信息。