• IT-Karriere:
  • Services:

Subdomain Takeover: Sicherheitsfirmen übernehmen Subdomain von EA

Die Subdomain eaplayinvite.ea.com des Spieleherstellers Electronic Arts ist von Sicherheitsfirmen übernommen worden. Über einen weiteren Angriff konnten die Firmen auch an Nutzerdaten gelangen.

Artikel veröffentlicht am ,
Hat nicht gut auf seine Subdomain aufgepasst: Electronic Arts
Hat nicht gut auf seine Subdomain aufgepasst: Electronic Arts (Bild: Paul Downey/CC-BY 2.0)

Eine verwaiste Subdomain des Spieleherstellers Electronic Arts (EA) konnte von den Sicherheitsfirmen Checkpoint und Cyberint übernommen werden - ein sogenannter Subdomain-Takeover. Mit der übernommenen Subdomain konnten die Sicherheitsfirmen mittels einer Phishingseite an die Zugangstokens der Spieler gelangen und so auf deren persönliche Daten zugreifen. Die Sicherheitslücken wurden laut Checkpoint mittlerweile behoben.

Stellenmarkt
  1. Vodafone GmbH, Düsseldorf
  2. beauty alliance Deutschland GmbH & Co. KG, Bielefeld

Webseiten und -dienste unter der eigenen Domain müssen nicht zwangsweise selbst betrieben werden, sondern lassen sich auch an Cloud-Dienste oder -Hoster auslagern. Genau das hatte Electronic Arts mit seiner Marketingwebseite eaplayinvite.ea.com gemacht, deren Inhalte auf Microsofts Cloud-Platform Azure gehostet wurden. Über einen CNAME-Eintrag im DNS leitete die EA-Subdomain im Hintergrund auf ea-invite-reg.azurewebsites.net um.

Der Spielehersteller löschte die Subdomain bei Azure, vergaß aber, auch den zugehörigen CNAME-Eintrag zu löschen. Die EA-Subdomain zeigte daher auf ein nicht mehr existierendes Azure-Konto. Genau dieses registrierten sich Checkpoint und Cyberint und konnten über die CNAME-Weiterleitung beliebige Inhalte unter der echten EA-Subdomain eaplayinvite.ea.com ausspielen.

Von der Subdomain zum Zugangstoken

Nachdem sie die Sudbomain übernommen hatten, untersuchten die Sicherheitsfirmen das Anmeldesystem von EA. Die Spieler müssen sich nur einmalig via Single Sign-on (SSO) bei EA mit ihren Zugangsdaten anmelden, um einen Zugriff auf alle EA-Seiten zu erhalten, ohne die Zugangsdaten erneut eingeben zu müssen. Hierzu wird ein SSO-Token generiert, mit dem sich die Spieler auf der jeweiligen Webseite authentifizieren. Über die Subdomain eaplayinvite.ea.com hatten die Sicherheitsfirmen theoretisch eine solche Webseite unter Kontrolle.

Unter der Subdomain betrieben die Sicherheitsfirmen eine Phishingwebseite, in der signin.ea.com in einem Iframe eingebunden ist. Meldet sich ein Benutzer über diese Webseite an, konnten die Sicherheitsfirmen über mehrere Redirects das Zugangstoken an die Subdomain unter ihrer Kontrolle übergeben lassen und hatten somit Zugriff auf das SSO-Token eines Spielers.

Angreifer hätten den so gewonnenen Zugangstoken nutzen können, um sich mit diesem bei EA anzumelden und die dort über den Spieler hinterlegten Daten einzusehen. Zudem hätten sie Spiele oder Accessoires auf Kosten des Konteneigentümers bestellen können.

Erst kürzlich konnte Golem.de durch einen Subdomain-Takeover bei Microsoft beliebige Informationen auf den Windows-Kacheln anzeigen. Im April ermöglichte eine Sicherheitslücke in der Windows-Version der Spieleplattform EA Origin das Ausführen von Programmen unter Windows - und konnte hierdurch auch Schadcode nachladen und ausführen. Hierzu musste ein Origin-Nutzer nur auf einen speziellen Link klicken.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Deauther
    Legal, illegal, Einzelfall
  2. Over-the-Air nicht möglich
    Porsche Taycan muss zum Update in die Werkstatt
  3. Homeoffice
    Liebe Firmen, lasst uns spielen!
  4. PDF
    Vernichtendes Urteil von Usability-Experten
  5. OWC
    Mac Pro bekommt Billigrollen
Anzeige
Spiele-Angebote
  1. 22,99€
  2. 40,49€
  3. (-15%) 25,49€
Kommentarübersicht
Re: Auch schon erlebt
User_x 26. Jun 2019

Frage soweit, wenn Kundendaten bzw. hier auch zusätzlich eine Phishing Seite aufgezogen...

Folgen Sie uns
       
Cyberpunk 2077 angespielt

Cyberpunk 2077 dürfte ein angenehm forderndes und im positiven Sinne komplexes Abenteuer werden.

Cyberpunk 2077 angespielt Video aufrufen
Programmiersprache
Programmiersprache Go: Schlanke Syntax, schneller Compiler
Programmiersprache Go
Schlanke Syntax, schneller Compiler

Die objektorientierte Programmiersprache Go eignet sich vor allem zum Schreiben von Netzwerk- und Cloud-Diensten.
Von Tim Schürmann

    Wearable
    8Sense im Test: Vibration am Kragen gegen Schmerzen im Rücken
    8Sense im Test
    Vibration am Kragen gegen Schmerzen im Rücken

    Das Startup 8Sense will mit einem Ansteckclip einer Bürokrankheit entgegenwirken: Rückenschmerzen. Das funktioniert - aber nicht immer.
    Ein Test von Oliver Nickel

    1. Rufus Cuff Handgelenk-Smartphone soll doch noch erscheinen
    2. Fitnesstracker im Test Aldi sportlich abgeschlagen hinter Honor und Mi Band 4
    Indiegames Rundschau
    Indiegames-Rundschau: Stadtbaukasten trifft Tentakelmonster
    Indiegames-Rundschau
    Stadtbaukasten trifft Tentakelmonster

    Traumstädte bauen in Townscaper, Menschen fressen in Carrion und Bilderbuchgrusel in Creaks: Die neuen Indiegames bieten viel Abwechslung.
    Von Rainer Sigl

    1. Indiegames-Rundschau Licht aus, Horror an
    2. Indiegames-Neuheiten Der Saturnmond als galaktische Baustelle
    3. Indiegames-Rundschau Dunkle Seelen im Heavy-Metal-Rausch
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /