Der Publisher Electronic Arts hat die Subdomain eaplayinvite.ea.com an Sicherheitsfirmen verloren. Über einen Subdomain Takeover haben die Unternehmen Nutzerdaten phishen können.
Die für die E3 EA Play angelegte Subdomain eaplayinvite.ea.com verwaiste mittels CNAME auf ea-invite-reg.azurewebsites.net. Die beiden Sicherheitsfirmen Checkpoint und Cyberint konnten diese Azure Seite anlegen und konnten so demonstrativ Daten phishen. EA arbeitet mit einem Zugangstoken der dadurch abgegriffen werden konnte.
Auch der Spielehersteller vergaß diesen CNAME zu löschen bzw. auf die Standard Webseite zu verlegen. Immer wieder vergessen auch große Konzerne wie Microsoft CNAME Adressen zu korrigieren.
Der Zugangstoken basiert auf dem Single Sign-On (SSO) und überall ohne zusätzlichen Login genutzt werden.
Böswillige Angreifer hätten die Zugangstoken sogar nutzen können, um Account Daten einzusehen bzw. auf Kosten des Eigentümers Spiele oder Accessoires zu erwerben.
Die beiden Unternehmen haben EA informiert und so Sorge getragen, das die Lücke geschlossen wird. Die Demonstration des ganzen ist in diesem Video sichtbar.
Allerdings war die Lösung von Electronic Arts eine Stillegung der Domain.
Quelle: Checkpoint