Check Point Research, la división de Inteligencia de Amenazas de Check Point Software Technologies ha detectado una serie de vulnerabilidades en el cliente de juegos Origin, desarrollado por Electronic Arts. Según la firma de seguridad, estos fallos en el software permiten a los ciberatacantes hacerse con el control de millones de cuentas de usuarios de todo el mundo, así como robar información y utilizar las credenciales guardadas en los perfiles para compras no autorizadas.
El fallo afecta a más de 300 millones de usuarios potenciales
EA tiene en estos momentos un grave problema. La vulnerabilidad, según Check Point Research, afectaría a más de 300 millones de usuarios en todo el mundo. En su tienda digital para juegos de PC Origin, el gigante del ocio digital tiene videojuegos como FIFA, Sims, Battlefield, NBA Live, UFC, Madden NFL, Command and Conquer y Medal of Honor, muchos de los cuales son verdaderos éxitos y fuentes de ingreso sin final para la editora.
Origin ofrece funcionalidades como la gestión de perfiles, la creación de redes con amigos a través del chat y la conexión directa a juegos, pero sus medidas de seguridad son insuficientes y muy precarias según esta firma.
Tras una serie de investigaciones, que ya se han comunicado a EA, la empresa está desarrollando una actualización de seguridad para protegerse frente a estas amenazas. Check Point Research ha confirmado que está trabajando codo con codo con EA para implementarlas pronto, así como reforzando el software sobre el que se ha construido la plataforma. "Proteger a los jugadores es nuestra prioridad", ha explicado Adrian Stone, Director Senior de Seguridad de Plataformas y Juegos en Electronic Arts. "Como resultado del informe de CyberInt y Check Point, integramos los servicios de seguridad para remediar los problemas que estábamos experimentando. Trabajar juntos bajo el principio de la divulgación coordinada de vulnerabilidades fortalece nuestras relaciones con la comunidad de ciberseguridad en general y es una parte clave para garantizar la seguridad de nuestros jugadores", concluye.
El fallo aprovechaba subdominios abandonados y el uso de tokens de autenticación de EA Games junto con el sistema de autenticación Single OAuth Sign-On (SSO) y TRUST, los cuales forman parte del proceso de inicio de sesión de usuario en la plataforma. De esta forma, y al igual que en el caso visto en Fortnite, los hackers y criminales usaban estos lugares abandonados por EA para introducirse en los perfiles menos protegidos. "Check Point y CyberInt recomiendan encarecidamente a los usuarios que habiliten la autenticación de dos factores y que sólo utilicen el sitio web oficial para descargar o comprar juegos", concluyen como consejos.