Из-за уязвимости Origin часть пользовательских данных может быть под угрозой

Не стоит открывать редактирование своего профиля в незащищенных сетях.

В приложении магазина Origin существует уязвимость, с помощью которой третьи лица могут получить часть информации о пользователе магазина. Уязвимость еще в октябре обнаружил исследователь безопасности, выступающий под псевдонимом Beard.

Приложение позволяет пользователю редактировать свои данные непосредственно на сайте Electronic Arts. Переход на сайт происходит после клика по кнопке в приложении: в браузере открывается ссылка с токеном аутентификации, игрок попадает в аккаунт, минуя ввод логина и пароля.

Исследователь выяснил, что ссылка с токеном не привязана к IP-адресу пользователя и не ограничена каким-либо другим образом. С ее помощью попасть в учетную запись можно из другого браузера, не авторизованного на сайте EA, или даже с другого устройства.

Если злоумышленник похитит ссылку с токеном — например, в случае использования незащищенной сети, — то он сможет получить доступ к настоящему имени игрока, последним цифрам в номере его кредитки или телефона, истории заказа, а также другим личным данным.

Исследователь сообщил об уязвимости в EA. Представители компании подтвердили наличие уязвимости и сообщили, что работаю над патчем, устраняющим проблему. По всей видимости, патч еще не готов: наша проверка показала, что в актуальной версии Origin уязвимость по-прежнему присутствует.