EA: Deutsche Webseite offenbar löchrig wie ein Käse

Hier könnt ihr euch über alles rund um Spiele unterhalten.

Moderatoren: Moderatoren, Redakteure

Antworten
Benutzeravatar
Worrelix
Beiträge: 3636
Registriert: 10.12.2009 19:48
Persönliche Nachricht:

EA: Deutsche Webseite offenbar löchrig wie ein Käse

Beitrag von Worrelix »

Der erst 18-jährige Datenschützer DeeWayne hat in der deutschen Webpräsenz des Spielepublishers Electronic Arts (EA) zahlreiche Schwachstellen gefunden, die eine sofortige Übernahme der Server ermöglichen würde. Der Redaktion von gulli.com liegt ein ausführlicher Proof of Concept vor. Auf seine Hinweise hat DeeWayne von EA bislang keine Antwort erhalten, die Lücken bestehen noch immer.

Auf einer Unterseite des Publishers Electronic Arts ist eine blind SQL-Injection möglich, DeeWayne berichtet in seinem proof of concept aber noch von sehr vielen anderen Schwachstellen. Der Portscan des 18-jährigen IT-Security-Interessierten ergab, dass ein Port für Angriffe auf das Datenbanksystem der Seite benutzbar ist. Die beim Portscan aufgetauchten Schwachstellen sind aber multiple Sicherheitslücken, die vielzählige Unter-Exploits beinhalten, die jeweils auf ganz unterschiedliche Art ausgenutzt werden können. Doch auch der Server selbst weist zahlreiche Schwachstellen auf, die es Angreifern ermöglicht, Server-Funktionen zu übernehmen und aktiv einzusetzen. Daneben ist zudem das SSL-Protokoll der Seite veraltet, was man-in-the-middle-Attacken ermöglicht. Cyberkriminelle könnten sich in verschlüsselte Datenströme zwischen EA und Kunden einklinken und problemlos alle Informationen im Klartext mitschneiden. Doch es geht noch weiter: Angreifer können mittels modifizierten Daten-Paketen oder modifizierten Table-Einträgen in der Datenbank, alle befindlichen Server im Netzwerk zum Absturz bringen. Auch die Version von Apache ist veraltet, was zahlreiche weitere bekannte Sicherheitsrisiken mit sich bringt. Die Liste der Schwachstellen scheint also fast kein Ende zu nehmen. Über Twitter hatte DeeWayne immer wieder von seinen Erfahrungen von der mangelnden Absicherung der EA-Server berichtet.

Doch beim Anbieter sind die Hinweise des Datenschützers bislang auf taube Ohren gestoßen. Seine E-Mail von vor vier Tagen blieb bis heute unbeantwortet. An der Existenz der unzähligen Lücken hat sich nichts geändert.
Quelle
Nach oben
Benutzeravatar
Scorcher24_
Beiträge: 15527
Registriert: 11.11.2004 14:31
Persönliche Nachricht:

Beitrag von Scorcher24_ »

Verschoben
Nach oben
Benutzeravatar
Pico118
Beiträge: 209
Registriert: 19.08.2006 11:31
Persönliche Nachricht:

Beitrag von Pico118 »

Wundert mich jetzt nicht gerade.
Ist halt wie über Unfälle lesen. Man denkt immer "mich wird es schon nicht treffen".
Warum also auf Sicherheit setzen.
Nach oben
Antworten

Zurück zu „Let's talk about“