Electronic Arts выпустила обновление для Origin, которое исправляет одну из важнейших уязвимостей сервиса, позволявшую злоумышленникам легко взломать аккаунт пользователя.
Уязвимость обнаружили в функции автоматического входа в профиль из Origin на сайт EA. При попытке перехода система выдавала URL для входа в виде токена с данными логина и пароля.
По словам пользователя с ником Beard, из-за этой уязвимости злоумышленник мог легко перехватить URL для автоматического входа в систему и войти в учетную запись жертвы. В особенности это работало, если человек входил в свой аккаунт в общедоступных сетях Wi-Fi (в кафе, метро и т.п.).
Beard также отметил, что подобная система автовхода реализована во многих онлайн-сервисах, но только в Origin этот функционал не был привязан к конечному IP-адресу пользователя или файлам cookie из-за чего и была такая уязвимость.
Злоумышленники могли узнать имя жертвы, а также последние четыре цифры кредитки и номера телефона. Если взлом происходил через общедоступную сеть Wi-Fi, то хакеры и вовсе могли взломать аккаунт.
После того, как об ошибке стало известно, EA сообщила, что свежее обновление полностью исправляет уязвимость. О случаях взлома аккаунтов пока не сообщается.