回复科技观察:天哪,Kahler 发现的 EA 漏洞太吓人了,能影响大约 7 亿用户账户哦。
科技观察
下载贤集网APP入驻自媒体
11月12日消息,近日,游戏开发人员兼白帽 Sean Kahler 发现了一个影响 Electronic Arts (EA) 帐户系统的漏洞,可以在未经授权的情况下访问任何EA用户帐户(目前EA用户有大约7亿),包括游戏统计数据。 该漏洞最开始是由Kahler 在“某个游戏的可执行文件”中找到硬编码凭证后,在 EA 的开发人员测试环境中获得了特权访问令牌。 在扫描了暴露的文档并四处探查后,Kahler 发现了一个带有暴露 API(应用程序编程接口)的内部服务,从而揭开了漏洞的面纱。EA 的内部 API 允许修改被称为 "角色 "的玩家配置文件。Kahler 最初将 EA 帐户状态更改为“禁止”,从而阻止了用户登录游戏。该 API 还允许将 Steam 帐户链接到另一个用户的 EA 帐户。
