Ein Spieleentwickler und Reverse Engineer hat eine schwerwiegende Sicherheitslücke im Kontosystem des Spielegiganten Electronic Arts (EA) aufgedeckt, die potenziell den Zugriff auf mehr als 700 Millionen Nutzerkonten ermöglichte.
Sean Kahler, der die Schwachstelle entdeckte, konnte durch die Ausnutzung der Lücke uneingeschränkten Zugriff auf Nutzerprofile und Spielestatistiken erlangen. Die Schwachstelle, die Kahler in der Entwicklungsumgebung von EA aufspürte, basierte auf im Programmcode hinterlegten Zugangsdaten. Durch weitere Untersuchungen stieß der Sicherheitsforscher auf eine interne Programmierschnittstelle (API), die weitreichende Manipulation von Nutzerprofilen ermöglichte.
Besonders bedenklich war die Möglichkeit, Steam- und Xbox-Konten beliebig mit EA-Profilen zu verknüpfen. „Mir wurde schnell klar, dass ich durch diese Funktion praktisch jeden EA-Account übernehmen konnte“, erläutert Kahler in seinem Bericht. Die Sicherheitslücke erlaubte es potenziellen Angreifern, Nutzerkonten zu sperren, Benutzernamen zu ändern und sogar Spielsperren zu umgehen – all dies ohne jegliche Authentifizierung der betroffenen Nutzer.
Lange keine Reaktion von EA
Nach der Meldung der Schwachstelle am 16. Juni 2024 stufte EA diese als kritisch ein. Die Behebung erfolgte in mehreren Schritten zwischen dem 7. Juli und 8. Oktober. Kahler kritisiert die lange Reaktionszeit des Unternehmens: „Angesichts der Schwere der Sicherheitslücke ist es verwunderlich, dass die Implementierung der Korrekturen so viel Zeit in Anspruch nahm.“
Bemerkenswert ist auch, dass Electronic Arts bislang kein Bug-Bounty-Programm unterhält, das Sicherheitsforschern Anreize bietet, entdeckte Schwachstellen zu melden. Dies steht im Kontrast zur gängigen Praxis anderer großer Technologieunternehmen, die solche Programme als wesentlichen Bestandteil ihrer Sicherheitsstrategie betrachten.
Die aufgedeckte Schwachstelle zeigt mal wieder die wachsenden Herausforderungen in der IT-Sicherheit, insbesondere bei Unternehmen mit großer Nutzerbasis. Experten mahnen seit langem eine proaktivere Herangehensweise an Sicherheitsfragen an, einschließlich der Einrichtung strukturierter Programme zur Schwachstellenmeldung.