Spieleentwickler Electronic Arts

EA-Schwachstelle ermöglichte Zugriff auf 700 Mio. Konten

Electronic Arts logo
Bildquelle: ricochet64/Shutterstock.com

Ein Spieleentwickler und Reverse Engineer hat eine schwerwiegende Sicherheitslücke im Kontosystem des Spielegiganten Electronic Arts (EA) aufgedeckt, die potenziell den Zugriff auf mehr als 700 Millionen Nutzerkonten ermöglichte.

Sean Kahler, der die Schwachstelle entdeckte, konnte durch die Ausnutzung der Lücke uneingeschränkten Zugriff auf Nutzerprofile und Spielestatistiken erlangen. Die Schwachstelle, die Kahler in der Entwicklungsumgebung von EA aufspürte, basierte auf im Programmcode hinterlegten Zugangsdaten. Durch weitere Untersuchungen stieß der Sicherheitsforscher auf eine interne Programmierschnittstelle (API), die weitreichende Manipulation von Nutzerprofilen ermöglichte.

Anzeige

Besonders bedenklich war die Möglichkeit, Steam- und Xbox-Konten beliebig mit EA-Profilen zu verknüpfen. „Mir wurde schnell klar, dass ich durch diese Funktion praktisch jeden EA-Account übernehmen konnte“, erläutert Kahler in seinem Bericht. Die Sicherheitslücke erlaubte es potenziellen Angreifern, Nutzerkonten zu sperren, Benutzernamen zu ändern und sogar Spielsperren zu umgehen – all dies ohne jegliche Authentifizierung der betroffenen Nutzer.

Lange keine Reaktion von EA

Nach der Meldung der Schwachstelle am 16. Juni 2024 stufte EA diese als kritisch ein. Die Behebung erfolgte in mehreren Schritten zwischen dem 7. Juli und 8. Oktober. Kahler kritisiert die lange Reaktionszeit des Unternehmens: „Angesichts der Schwere der Sicherheitslücke ist es verwunderlich, dass die Implementierung der Korrekturen so viel Zeit in Anspruch nahm.“

Bemerkenswert ist auch, dass Electronic Arts bislang kein Bug-Bounty-Programm unterhält, das Sicherheitsforschern Anreize bietet, entdeckte Schwachstellen zu melden. Dies steht im Kontrast zur gängigen Praxis anderer großer Technologieunternehmen, die solche Programme als wesentlichen Bestandteil ihrer Sicherheitsstrategie betrachten.

Anzeige

Die aufgedeckte Schwachstelle zeigt mal wieder die wachsenden Herausforderungen in der IT-Sicherheit, insbesondere bei Unternehmen mit großer Nutzerbasis. Experten mahnen seit langem eine proaktivere Herangehensweise an Sicherheitsfragen an, einschließlich der Einrichtung strukturierter Programme zur Schwachstellenmeldung.

Lars

Becker

Redakteur

IT Verlag GmbH

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.