Publicidade

Electronic Arts ignorou alertas de segurança durante meses antes de ser invadida

Por| Editado por Claudio Yuge | 28 de Junho de 2021 às 18h20

Link copiado!

Divulgação/Electronic Arts
Divulgação/Electronic Arts

Invadida em junho deste ano, a publicadora Electronic Arts ignorou durante meses alertas que afirmavam a vulnerabilidade de seus sistemas. Segundo a empresa de segurança israelense Cyberpion, a dona de séries como FIFA foi avisada em dezembro de 2020 sobre problemas em subdomínios que permitiriam invasões.

A companhia também afirmou ter encontrado nesses subdomínios ativos potencialmente desconhecidos com registros de DNS configurados de maneira incorreta. Ao site ZDNet, o cofundador da Cyberpion, Ori Engelberg, afirmou que um relatório completo apontando o problema e contendo provas de conceito foi enviado à Electronic Arts, que não fez nada para lidar com eles.

Continua após a publicidade

“Amamos a EA, então queríamos contatá-los para ajudar porque sua presença online é significativa”, explicou Engelberg. “O que descobrimos é a capacidade de assumir os ativos da EA. É mais do que apenas assumir os ativos da EA, é sobre o que pode ser feito come esses ativos”, explicou.

Segundo o executivo, criminosos poderiam usar os subdomínios vulneráveis para enviar e-mails usando os endereços da empresa, afetando consumidores, funcionários e fornecedores no processo. Além de encontrar 10 domínios vulneráveis, a equipe da Cyberpion também descobriu pelo menos 15 sites da publicadora que ainda usam o protocolo HTTP, considerado inseguro, e mais de 500 configurações DNS mal feitas.

Problemas podem envolver fornecedores

Além de enviar a documentação para a empresa, Engelberg e sua equipe simularam um ataque contra ela em dezembro do ano passado. Não somente a Electronic Arts ignorou o acontecido, como continuou a alimentar os domínios afetados com novos ativos, tornando-os suscetíveis a roubos.

Continua após a publicidade

Engelberg explica que os problemas da publicadora são especialmente graves pelo fato de que muitos deles envolvem sua cadeia de fornecedores. Nesse caso, alterações e problemas de segurança podem surgir a partir de agentes externos e só se tornar conhecidos tempos depois, quando já é tarde demais para corrigi-los.

“Até mesmo os ativos que são conhecidos pela equipe de segurança podem ter alterações que ela não conhece. Se os hackers podem alcançar o que desejam sem penetrar na organização, mas através de uma terceira, quarta ou quinta entidade a que você está conectado, por que não? Você não tem visibilidade do ataque e encontrará seus dados na dark web daqui a três anos”, explica o cofundador da Cyberpion.

EA enfrenta diversos problemas de segurança

Segundo o ZDNet, a Electronic Arts não respondeu a comentários sobre a situação, mas já fechou ao menos 7 brechas de segurança detectadas após ser contatada. Na semana passada, a empresa também teve que lidar com problemas no Origin (sua plataforma de jogos para PC) que permitiam explorar mecanismos de autenticação usados no processo de login.

Continua após a publicidade

Segundo a Check Point e a CyberInt, a falha permitia sequestrar sessões e tomar controle completo de uma conta. O problema se tornava mais grave por não exigir que as vítimas entregassem suas credenciais, sendo explorado a partir da configuração mal feito no ambiente de nuvem usado pela corporação.

A empresa foi alertada pelos pesquisadores das empresas de segurança e já corrigiu a falha, que não foi explorada por nenhum agente externo. A invasão realizada contra a empresa em junho não explorou nenhuma das brechas descobertas, se aproveitando de engenharia social e credenciais vazadas do Slack para roubar códigos-fontes da série FIFA e do motor gráfico Frostbite.

Fonte: ZDNet