Electronic Arts знала о критических уязвимостях до атаки, но ничего не предприняла

[Artifact]

ИБ-эксперты предоставили компании PoC-эксплоит для атаки, Electronic Arts подтвердила его получение, но так и не исправила уязвимости.

Раскрытая американским издателем видеоигр Electronic Arts в этом месяце утечка данных может оказаться намного серьезнее, чем считалось раннее. Речь идет не о масштабах инцидента, а о том, что компания запросто может игнорировать угрозы безопасности, о которых ей известно, и не предотвращать кибератаки.
Напомним, несколько недель назад на хакерских форумах стали появляться сообщения о похищении у Electronic Arts порядка 780 ГБ исходного кода, проприетарных фреймворков, средств разработки (SDK) и движков. Все похищенные данные, в том числе доступ к серверам FIFA 21, ключи API FIFA 22 и некоторые SDK для Microsoft Xbox и Sony, были выставлены на продажу.
Как заявили в компании, она начала свое расследование инцидента, а сама утечка ограничивалась только небольшим объемом исходного кода и связанных инструментов. Данные игроков не пострадали, и «нет причин думать, что приватности игроков что-либо угрожает», уверяли в Electronic Arts. Тем не менее, по словам ИБ-экспертов, инцидент можно и нужно было предотвратить.
Как сообщил изданию ZDNet соучредитель израильской ИБ-компании Cyberpion Ори Энгельберг (Ori Engelberg), он вместе со своими коллегами предупредил производителя видеоигр о ряде проблем безопасности (в частности, о неправильных настройках DNS, позволявших злоумышленникам получить контроль над доменами), еще в прошлом году. В декабре 2020 года Cyberpion предоставила Electronic Arts PoC-эксплоит для атаки, производитель видеоигр подтвердил его получение и пообещал связаться с ИБ-компаний в случае возникновения каких-либо вопросов, однако так этого и не сделал. Уязвимости также остались неисправленными.
По словам Энегльберга, с помощью украденных доменов злоумышленники могут отправлять пользователям электронные письма от имени Electronic Arts и просить их предоставить информацию об учетной записи или другие конфиденциальные данные. На прошлой неделе компания уже столкнулась с негативной реакцией после того, как выяснилось, что цепочка уязвимостей могла позволить злоумышленникам получить доступ к персональной информации и взять под контроль учетные записи игроков.