Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
EA Logo von Maurice Steenbergen
12.09.2011
Auf einer Unterseite des Publishers Electronic Arts ist eine blind SQL-Injection möglich, DeeWayne berichtet in seinem proof of concept aber noch von sehr vielen anderen Schwachstellen. Der Portscan des 18-jährigen IT-Security-Interessierten ergab, dass ein Port für Angriffe auf das Datenbanksystem der Seite benutzbar ist. Die beim Portscan aufgetauchten Schwachstellen sind aber multiple Sicherheitslücken, die vielzählige Unter-Exploits beinhalten, die jeweils auf ganz unterschiedliche Art ausgenutzt werden können. Doch auch der Server selbst weist zahlreiche Schwachstellen auf, die es Angreifern ermöglicht, Server-Funktionen zu übernehmen und aktiv einzusetzen. Daneben ist zudem das SSL-Protokoll der Seite veraltet, was man-in-the-middle-Attacken ermöglicht. Cyberkriminelle könnten sich in verschlüsselte Datenströme zwischen EA und Kunden einklinken und problemlos alle Informationen im Klartext mitschneiden. Doch es geht noch weiter: Angreifer können mittels modifizierten Daten-Paketen oder modifizierten Table-Einträgen in der Datenbank, alle befindlichen Server im Netzwerk zum Absturz bringen. Auch die Version von Apache ist veraltet, was zahlreiche weitere bekannte Sicherheitsrisiken mit sich bringt. Die Liste der Schwachstellen scheint also fast kein Ende zu nehmen. Über Twitter hatte DeeWayne immer wieder von seinen Erfahrungen von der mangelnden Absicherung der EA-Server berichtet.
Doch beim Anbieter sind die Hinweise des Datenschützers bislang auf taube Ohren gestoßen. Seine E-Mail von vor vier Tagen blieb bis heute unbeantwortet. An der Existenz der unzähligen Lücken hat sich nichts geändert. Nachdem man seine Hinweise ignorierte, hat er sich letzten Samstag an gulli.com gewendet, damit niemand die Bugs aktiv ausnutzen kann. Möglicherweise können wir beim Aufwecken des Unternehmens ein wenig behilflich sein, einen Versuch ist es immerhin wert. Die ausführlichen Sicherheitshinweise leiten wir gerne an qualifizierte Stellen weiter.
Update vom 14.09.2011
Es erfolgte keine Kontaktaufnahme, die fragliche Eingabeform ist zumindest verschwunden. Die meisten anderen Lücken sind trotz des beendeten Gewinnspiels noch immer offen. Zwei Techniker von EA haben sich jetzt bei DeeWayne gemeldet und bekamen den proof of concept übermittelt. Laut deren Aussage bestünde keine direkte Gefahr für den Origin-Dienst, das Battlelog für Battlefield 3 und deren Game-Server, da diese auf seperaten Servern liegen. Die Lücken werden so schnell wie möglich behoben.
Bild-Quellen: mauricesteenbergen.deviantart.com
Text-Quellen: DeeWayne DeeWayne @ Twitter
Lars Sobiraj am Mittwoch, 14.09.2011 08:44 Uhr
Tags:
electronic arts
deewayne
Ansonsten echt erbärmlich, wie kann ein so großes Unternehmen, sowenig Wert auf Sicherheit legen. Hochmut kommt vor dem Fall... Was erwartet ihr von einer Firma die Spiele in einem Stadium rausbringt das bei einem ordentlichen Entwickler nichtmal als Beta bezeichnet ...
Ich habe gestern vom "PR Director und Jugendschutzbeauftragter" auch eine Antwort auf eine Mail vom August erhalten, wo man sich für den Hinweis bedankt. Ob man anhand der drei Beispiel URLs Abhilfe schaffen konnte oder ob man die anderen URLs noch benötigt wird nicht erwähnt. Auf jeden Fall hat ...
sehr schön. hat zwar gedauert aber immerhin. das sowas nicht direkt behoben werden kann und erstmal deaktiviert wird ist auch ok. ...
Update der News ist raus. Danke an DeeWayne für seine Antworten hier im Forum!! ...
Fifa ist blöd also wird auch Battlefield 3 nix :rolleyes: Nur weil eine Unterseite hackbar ist, kauft ihr nicht das Game? :m) ...
Lars Sobiraj am 20.05.2012, 16:54 Uhr
Im US-amerikanischen iTunes Store wurden statt dem Begriff "Jailbreak" lediglich Sternchen zwischen dem Anfangs- und Endbuchstaben angezeigt. Davon waren letztlich alle Kategorien betroffen. So wurden neben Apps auch Klingeltöne, Podcasts, Musikstücke, ganze Alben und eBooks zensiert angezeigt. Laut den Untersuchungen von Shoutpedia waren mehrere Monate lang 95% aller Begriffe davon betroffen.
Kämpfe als Held in diesem einzigartigen Fantasy Game. Viele Gefahren und Abenteuer erwarten dich! 
spielen
Erschaffe deine eigene Insel und erobere die Welt. Krieg oder Wachstum - deine Strategie entscheidet! spielen
Werde Gladiator und kämpfe im antiken Zeitalter um Ruhm und Ehre. Gehe Bündnisse mit anderen Spielern ein und kämpft gemeinsam gegen die schrecklichen Barbaren. spielen
Ziehe als einsamer Waldläufer oder an der Seite von Kampfgefährten in einem Fantasy-Spiel von Abenteuer zu Abenteuer. spielen
Tritt gegen legendären Samurai aus Japan des 19. Jahrhundert an und werde der gefürchtetste aller Samurai. spielen
Tritt in eine epische Schlacht zwischen Werwölfen und Vampiren, in der nur die Stärksten überleben werden, ein. spielen
