Взлом EA: как покупка cookie за 10 долларов привела к краже данных на 28 миллионов Статьи редакции

Хакеры рассказали подробности своей атаки и сообщили, что она открыла им доступ не только к коду Frostbite и FIFA 21, но и к информации о PlayStation VR.

10 июня стало известно, что хакеры взломали сервисы EA и украли 780 гигабайт данных, в том числе исходный код FIFA 21 и движка Frostbite, использовавшегося для разработки Battlefield. Через день злоумышленники рассказали изданию Vice, как им удалось получить доступ к сети Electronic Arts и похитить информацию.

Сперва хакеры, по их собственным словам, попытались проникнуть в канал EA в корпоративном мессенджере Slack. Для этого они приобрели cookie — фрагменты данных, использующиеся, среди прочего, для аутентификации на разных сайтах — которые были украдены у сотрудников Electronic Arts и продавались примерно по 10 долларов.

Расчёт злоумышленников оправдался — используя cookie, они смогли зайти в канал EA в Slack. На сам этот канал, как предположили в Vice, хакеры смогли выйти благодаря тому, что один из бывших инженеров Electronic Arts ранее выложил перечень каналов издательства в открытый доступ.

Во внутренних чатах Electronic Arts преступники связались с IT-поддержкой, чтобы через неё получить доступ к закрытой корпоративной сети.

Попав в чаты, мы связались со службой IT-поддержки EA и от лица сотрудника издательства сказали, что прошлой ночью на вечеринке он потерял телефон.

из комментариев хакеров

На якобы потерянном телефоне, как заявили хакеры IT-поддержке, хранился токен для многофакторной аутентификации в корпоративной сети EA. Поэтому поддержка выдала злоумышленникам новый токен. Хакеры утверждают, что, используя историю об утраченных токенах, они дважды обманули службу помощи EA и в итоге проникли в закрытую сеть.

В корпоративной базе данных преступники нашли сервис для компиляции игр. Зайдя в него, хакеры создали виртуальную машину, чтобы лучше ориентироваться в сети, получили доступ к ещё одному сервису и украли исходный код.

Злоумышленники подтвердили свой рассказ скриншотами из каналов и сетей EA. Само издательство подтвердило Vice, что описание взлома, которое дали хакеры, в общих чертах соответствует действительности.

Вместе с исходным кодом Frostbite и FIFA 21, по словам хакеров, они нашли в сети EA сведения о PlayStation VR, информацию о создании зрительских масс в FIFA 21 и документы об искусственном интеллекте в играх.

Всё это преступники собираются продать. По данным, которые получил Telegram-канал «Утечки информации» на форумах в даркнете, хакеры просят за 780 гигабайт данных около 28 миллионов долларов в биткоинах.

Объявление о продаже данных EA в даркнете, которое нашло издание BleepingComputer. В нём хакеры указали, что, кроме прочего, украли у издательства инструменты для разработки FIFA 22 и SDK, которые принадлежат Sony и Xbox
0
158 комментариев
Написать комментарий...
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Trixerus

купил не те куки

Ответить
Развернуть ветку
2 комментария
Заслуженный корабль

Комментарий недоступен

Ответить
Развернуть ветку
Dima Balanov

В 99% человеческий фактор главная проблема.

Ответить
Развернуть ветку
37 комментариев
Мана Банана

Несовершенство системы скорее всего. Если токен можно так легко получить без подтверждения хотя бы по вебке, то система сама виновата. 

Ответить
Развернуть ветку
3 комментария
Владимир Кондратьев

во-во. с людьми коммунизм не построить.

Ответить
Развернуть ветку
Ainsov Eternal

первое правило хакеров (и безопасников): ломают не компьютеры, ломают людей.

Ответить
Развернуть ветку
1 комментарий
Многий хот-дог

Или ошибка в протоколе. При проебе токена двухфакторной авторизации должен был быть использован или запасной код доступа, или визуальная авторизация хотя бы через вкс. Это вообще общее правило, при невозможности пройти двухфакторку не должно быть варианта "сорян, проебал". А вот если протокол был, но саппорт "пошёл навстречу", тогда 100%:человеческая ошибка и кому-то пиздец. 

Ответить
Развернуть ветку
1 комментарий
Убитый цвет

-алло поддержка еа я потерял ключ от ваших серверов
-это наджим я помогать вам высылать код от сервера и 10 процентов на следующий покупка

Ответить
Развернуть ветку
Владимир Кондратьев

пожалуйста, оцените нашу работу от одного до десяти.

Ответить
Развернуть ветку
3 комментария
Sergey Matveev

Тру стори из лайв-чатов ЕА саппорта.Валялся аккаунт угнанный с баттлфилдом 4,но хотелось его перевязать на свою левую почту.В итоге развел девченку-саппорта на перевязку аккаунта на мою почту и она же в ходе милой беседы в чате скинула мне купон на скидку 15 процентов вроде.От аккаунта знал только оригинальную почту владельца и секретку в духе "12345". Видимо у ЕАшников "Dude,trust me" основной принцип.

Ответить
Развернуть ветку
Ivan Kazakov

Спрашивают как-то миллиардера: "Скажите, как вы разбогатели?"
А он им отвечает: "Я покупал печенье за 10 долларов и продавал за 28 миллионов" 

Ответить
Развернуть ветку
uheplm

Рабинович продаёт на Привозе cookie под табличкой "Один cookie - 10$. Три cookie - 40$".

Подходит мужик и покупает cookie за 10$, потом еще cookie за 10$, потом еще cookie за 10$ - и на прощанье разостно говорит Рабиновичу:

—Смотри, я купил три cookie, а заплатил только 30 $! Не умеешь торговать!

Рабинович смотрит ему вслед:

—И вот так всегда - берут по три cookie вместо одного, а потом учат меня коммерции...

Ответить
Развернуть ветку
Непосредственный пришелец
Ответить
Развернуть ветку
Bourbon

Два, пожалуйста

Ответить
Развернуть ветку
Atheris

Какой бы длины ни был ключ шифрования, старый добрый фишинг продолжает работать.

Ответить
Развернуть ветку
mmddpp

Это не фишинг, а социнженерия по сути

Ответить
Развернуть ветку
3 комментария
uheplm

Длинный и необрезанный SHA256

Ответить
Развернуть ветку
Обычный Человек

Наконец то
фростбайт вышел в опенсурс

Ответить
Развернуть ветку
Кирил Мифодиев

Может теперь фанаты смогут сделать из DAI нормальную игру.

Ответить
Развернуть ветку
2 комментария
Мана Банана

780 Гб. Где они сука находят такие гейты? И как их выкачивают?

Ответить
Развернуть ветку
Valery Kirichenko

Да в период удаленки, мне кажется, сложно за трафиком следить

Ответить
Развернуть ветку
16 комментариев
Тимур

Я думаю проблема не в размере, у айти гиганта на серверах Тб/с измеряется трафик, наверное. А вот то, что данные вообще можно выкачивать в прямом виде наружу - это да, караул.

Ответить
Развернуть ветку
6 комментариев
Derek Mongatter

Долго и медленно 

Ответить
Развернуть ветку
Чукин Михаил

- Я обнаружил, что у нас дыра в безопасности
- Слава Богу, хоть что-то у нас в безопасности

Ответить
Развернуть ветку
Лунный Заяц

Это было почти так же увлекательно, как истории про еву онлайн

Ответить
Развернуть ветку
Mike Kozlov

28 лямов? Да это же самый дорогой лутбокс в истории EA!
Интересно, что внутри?

Ответить
Развернуть ветку
Иркутский браслет

Как что?
Армяне в нарды играют.

Ответить
Развернуть ветку
Евгений Серегин

А внутри броня, дающая иммунитет к судебным искам :).

Ответить
Развернуть ветку
Александр Кобяков

Их ремастеры(грустная шутка):

Ответить
Развернуть ветку
Денис Охритько
исходный код FIFA 21

То есть исходный код всей франшизы FIFA?

Ответить
Развернуть ветку
Виталий

Иконки от следующей части нету...

Ответить
Развернуть ветку
333hronos

Мне всё-таки очень нравится сегодняшние методы проверки подлинности cookies - их тупо нет.
Нет бы, хотя бы по ip, или по местоположению, но нет.
Украли у тебя эти мелкие cookies (не суть важно как, оно не так сложно), и всё - готовь вазелин - кто угодно где угодно сможет использовать их.

Ответить
Развернуть ветку
MartellX

По ip - при каждой смене вайфая на моб.инет или если динамический - вылет, по местоположению - вышел из дома - вылет)

Ответить
Развернуть ветку
3 комментария
Многий хот-дог

В данном случае ничего бы не было, если бы саппорт на "ой, я потерял второй фактор" не ответил бы "а, ну ладно". Куки-то только в слак привели. 

Ответить
Развернуть ветку
Alexander Zinchenko

Ну потому что только тупые хранят что-либо конфиденциальное в куках.

Ответить
Развернуть ветку
5 комментариев
sadksakldjh

Тут к слаку вопрос, они выбрали удобство использования пожертвовав безопасностью. Привязывать к ip в данном случае перебор из-за распространенности динамических ip, а вот локация... да особо ничего не даёт локация. Покупаешь прокси в нужной локации и работаешь

Ответить
Развернуть ветку
Евгений Науменко

Ну ничего страшного. Просто сотрудники службы безопасности выплатят ущерб, понесенный по их халатности. Ну точнее, начнут они, а их потомки закончат, как раз к FIFA 2089 успеют.

Ответить
Развернуть ветку
Будущий месяц

Боюсь, что не спеют

Ответить
Развернуть ветку
Тимур
 Для этого они приобрели cookie — фрагменты данных, использующиеся, среди прочего, для аутентификации на разных сайтах — которые были украдены у сотрудников Electronic Arts и продавались примерно по 10 долларов.

Что это за айтишный песец?! Куки сотрудников выставляют за еду, там вообще следят за безопасностью?

Ответить
Развернуть ветку
Традиционный ящик

Видимо бюджет на кибербезопасность ушел ребятам из маркетингового отдела.Или топ-менеджменту за рекордные прибыли:)

Ответить
Развернуть ветку
Евгений Серегин

Так наверняка сами безопасники и продавали. Уволили кого нибудь, он обиделся и начал торговать всем, что успел унести.

Ответить
Развернуть ветку
Nikita Sirenko
сведения о PlayStation VR

О каком конкретно новом или старом?

Ответить
Развернуть ветку
o hellou-mark

О третьем. А стни вр... Для бокса

Ответить
Развернуть ветку
Иван Голунов

Аутентификация в Слаке по одной только куки, которая давно считается устаревшей и небезопасной технологией? Звучит неубедительно с самого начала. 

Ответить
Развернуть ветку
Иван Голунов

Погуглил. Это действительно возможно, но хакеры должны были воспользоваться неизвестной уязвимостью в самом Слаке. 

Ответить
Развернуть ветку
1 комментарий
Alexander Zinchenko

"Remember me"-куки все еще активно используют.

Ответить
Развернуть ветку
9 комментариев
EveryDayTomorrow
 информацию о создании зрительских трибун в FIFA 21

Не играл в FIFA 21, поэтому интересно: что такого особенного в зрительских трибунах в этой игре, что это упомянули отдельно?

Ответить
Развернуть ветку
Александр Омолоев
Автор

Имеются в виду не сами трибуны, а зрительские массы, многочисленные болельщики. Mea culpa, не совсем понятно объяснил, сейчас скорректирую 

Ответить
Развернуть ветку
2 комментария
Oroch1 Zilla

Песня "Простой сотрудник BioWare" нуждается в ремиксе "Простой сотрудник техподдержки".

Ответить
Развернуть ветку
VVladimirVV

Охуеть

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Humsterr

Те куски-файлы, что локально браузер хранит, в том числе используя для аутентификации сессии 

Ответить
Развернуть ветку
Tomoe Mikage

Теперь наконец то, фанаты сами допилят и выпустят FIFA 2022, с настоящим обновлением, а не одну и ту же игру который год :)

Ответить
Развернуть ветку
Shadowlordm

Снова шпионы и они всех обыграли

Ответить
Развернуть ветку
Кирилл Мацанов
но и к информации о PlayStation VR.

PlayStation:

Ответить
Развернуть ветку
BLOOD ELF

Но в итоге все получилось из-за безалаберности нескольких сотрудников, которые ноунеймам в чате выдали доступы, не поинтересовавшись, кто они такие и откуда.

Ответить
Развернуть ветку
Sasha Zvezdochkin

Ну я так понимаю в чате они были авторизованы как некий сотрудник. Возможно знали даже его данные (если будет некая базовая проверка). Так что тут надо либо чтобы как в почтах при получении первого ключа формировали секретный вопрос - ответ. Или отправляли его не в чате, а на корпоративную почту (+ один шаг для полноценного взлома)

Ответить
Развернуть ветку
Kirschblute

Главное что бы батлу не перенесли.

Ответить
Развернуть ветку
Vanzerfull

Лучше бы вообще отменили, да :)

Ответить
Развернуть ветку
Digital Cucumber

Интересно, насколько на практике возможно это купить за 28 миллионов долларов и не попалиться.

Ответить
Развернуть ветку
lamurchik

Криииптаааа

Ответить
Развернуть ветку
Humsterr

Настолько же, насколько продать 

Ответить
Развернуть ветку
Михаил Сударь

Произошёл взлом ЕА

Ответить
Развернуть ветку
dexyc

Печенье на 780 гб? А за такое разве не сажают? 

Ответить
Развернуть ветку
Виктор Ворсин

Было бы здорово, если бы код Фроста попал в руки к моддерам Анфема, и они запузырили бы оффлайн-версию.

Ответить
Развернуть ветку
Геральт из Ривии

Почему только одну фифу? Отмененный Star Wars надо было

Ответить
Развернуть ветку
Андрей Мейкер

Поддерживаю хакеров этих  давно пора взломать на пару миллиардов чтобы свою парашу FIFA не сували.

Ответить
Развернуть ветку
Avenger QQ
Ответить
Развернуть ветку
Читать все 158 комментариев
null