[新聞] 盜取 EA 原始碼這麼簡單?駭客:入侵

看板 c_chat
作者 Clarkliu
時間 2021年06月16日
留言 95則留言,68人參與討論
推噓 59  ( 59推 0噓 36→ )

盜取 EA 原始碼這麼簡單?駭客:入侵 Slack 聊天室然後直接要密碼就行 https://technews.tw/2021/06/15/ea-slack/ EA 美商藝電日前遭駭客入侵,竊取約 780GB 遊戲原始碼資料,如《FIFA 21》、 Frostbite 引擎(不僅 EA 旗下足球/美式足球系列遊戲採用,而且也應用在《戰地風雲 》系列),且這些資料已在地下論壇流傳。諷刺的是這起事件始作俑者竟是「EA」本身, 因 EA 親自把登入權限交給駭客。 科技新聞網站 Motherboard 採訪參與此次事件的駭客,聲稱他們只用很簡單的「詐騙」 手法,就輕易得到 EA 內部網路權限;而非如外界想像,一路突破重重關卡,破解 EA 安 全機制後才盜取資料。 駭客解釋,首先他們先在網路花 10 美元買被盜用的 Cookie,因 Cookies 保存特定使用 者的登錄資訊,讓駭客可冒充他人身份登入。駭客利用被盜的 Cookie,獲得 EA 使用的 Slack 頻道許可權,並進入 EA 的 Slack。 駭客說明,一旦進入 EA Slack 聊天室後,便向 IT 部門其中一位成員發送訊息,聲稱「 我」在聚會遺失手機,成功騙到 IT 部門重新發給他的 EA 內網登入認證。駭客透露,他 們利用這種簡單的「詐騙」方式,成功騙到兩次認證。 登入 EA 內部網路後,駭客便發現為 EA 開發人員編譯遊戲程式的服務,於是便在上面創 建虛擬機器,使他們對 EA 內部網路有更多瞭解。之後駭客不僅「瀏覽」許多 EA 內網服 務,同時還「盡其所能」下載遊戲原始程式碼。 報導指出,接受採訪的駭客最後還提供螢幕截圖,證實受訪內容像是 Slack 聊天紀錄等 ;EA 隨後也證實駭客對入侵事件的描述。 -- -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.41.151.167 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1623837524.A.C78.html
1Fr85270607: 有差嗎 EA不都賣你外觀 抽抽 跟服務型遊戲 06/16 18:00
2Fchadmu: 爛公司不意外 06/16 18:00
3Fstoryo11413: 有夠廢 06/16 18:00
4Fdevilkool: Slack原來這麼好被盜喔 06/16 18:00
5Fllabc1000: 看起來比較接近詐騙而不是駭客 06/16 18:00
6Fhinanaitenco: 社會工程 06/16 18:01
7Fwinda6627: 駭客:結果發現EA沒什麼有料的內容,只有(RY。 06/16 18:02
8Fa05150707: 這種也算駭客行為阿 社交工程 06/16 18:02
9Fspfy: 有種專有名詞社交工程攻擊 06/16 18:02
10Fa05150707: 使用一切能使用的漏洞來騙取權限 包含騙人 猜密碼 06/16 18:03
11FVedfolnir: オレオレ詐欺 06/16 18:03
12Fa25785885: 遊戲原始碼沒什麼用吧?只是想自抬身價而已 06/16 18:04
13Flturtsamuel: 可憐IT要回家吃自己惹 06/16 18:04
14Fallanbrook: 這樣還算駭嗎 06/16 18:04
15Fspfy: 第一次看到這名詞還以為是唬爛 後來才知道不但真的還很常用 06/16 18:05
16Fr85270607: 有點忘記專門定義了 06/16 18:05
17FBencrie: 社交工程無敵 06/16 18:05
18Fr85270607: 社交工程概念就是從你個人背景方面下手 06/16 18:05
19Fjeeyi345: 笑了 06/16 18:05
20Famsmsk: slack XDDD 06/16 18:05
21Fallanbrook: 這好過分 雖然也是他們不夠謹慎啦XD 06/16 18:05
22Fr85270607: 例如密碼猜測是生日或電話號碼 06/16 18:06
23Fjeeyi345: 麥克偷換iPhone的任務是真的 06/16 18:06
24Fxxoooxx34567: 結果code看到一半發現要買DLC 06/16 18:06
25Fa05150707: 釣魚信說你中iphone這種也有社交工程的概念 06/16 18:07
26Ftonyy801101: 原始碼跟作品著作一樣重要的 06/16 18:07
27FFallere: IT是要教員工防類似招數的那邊欸,自己中招是怎樣 06/16 18:07
28Fchuckni: EA XDDDDDD 06/16 18:08
29Fstoryo11413: 社交工程一直都算阿 太基本了 06/16 18:08
30Flolic: wwwwwwwwwwww 06/16 18:08
31FLOVEMS: 一般來說不是要寄回原公司信箱嗎? 06/16 18:08
32FWolfclaw: 社交工程=最大的資安漏洞是人 06/16 18:08
33FClarkliu: 他們買cookie回來用 也算駭客啦 06/16 18:09
34Fknight45683: EA... 06/16 18:11
35FPorops: 社交工程一直以來都是常見駭客手段之一,畢竟人才是最難防 06/16 18:13
36FPorops: 的 06/16 18:13
37FAirForce00: 記得當年gta5剛推出沒多久,就有人模仿麥可的手段, 06/16 18:13
38FAirForce00: 成功入侵遊戲公司。那時還上了新聞 06/16 18:13
39Ff1426871: 24樓笑死 06/16 18:14
40FaCCQ: XDDD 06/16 18:15
41Fbobby4755: 在上班的人真的不會想那麼多 XD 06/16 18:15
42Ftyifgee: 假冒身分騙 很會 06/16 18:16
43FLOVEMS: IT通常會與人方便 我覺得這個真的比較沒辦法 06/16 18:18
44FleamaSTC: 結果駭完後發現好像沒啥好爆料的 還不如駭卡普空 06/16 18:20
45Fpotential208: 駭客本來就是由這種手法起家的 06/16 18:21
46Fgary82gary: 釣魚信釣魚網站都算社交工程,slack那段應該不只買Coo 06/16 18:21
47Fgary82gary: kie那麼簡單,方法有所保留 06/16 18:21
48Fryanmulee: 盜了發現要花4.99美元解鎖 06/16 18:22
49FDJYOSHITAKA: 幹 碩班實驗室就用slack 想到就頭痛 06/16 18:24
50Ftmwolf: it人員鬆的跟什麼一樣 06/16 18:24
51Fiamnotgm: 搞這塊的人都介於鬆和嚴的不連續狀態阿 為了防止外洩 06/16 18:26
52Fblackone979: 這個問題點在Cookie怎麼流出去的 跟防火牆建構沒關 06/16 18:26
53Fa1919979: 我一直在思考一件事 刻意釋放乳滑言論能不能達到用社交 06/16 18:26
54Fa1919979: 工程的方式反外掛跟防盜版的效果 06/16 18:26
55Fiamnotgm: 要嚴 可是你嚴了管制多了其他部門的人全部都在幹譙你 06/16 18:26
56Faaaaooo: 那個被冒用身分的人應該挺慘 06/16 18:27
57Fblackone979: 那個SLACK本來就只有社內人員能進去 如果你還要懷疑 06/16 18:27
58Fblackone979: 每個人是真是假 事情都不用做了 06/16 18:27
59Fcoolboy16: 因為這個事件我們公司最近才用詐騙連結測試員工XD.... 06/16 18:33
60Fcoolboy16: 結果大概有將近10%會中招 大部分因素都是信很多,想趕 06/16 18:34
61Fcoolboy16: 快把CASE解決所以沒有防範之心 06/16 18:34
62Fhorseorange: 有Cookie就能登進去是真的假的? 06/16 18:35
63Frunedcross: 社交工程本來就占不小的比例 06/16 18:37
64Fstreakray: 詐騙無敵 06/16 18:39
65Fsmart0eddie: 這個要怎麼防騙啊 06/16 18:40
66FLOVEMS: 就需要認證或帳密的東西寄公司信箱 公司信箱也進不去就麻 06/16 18:43
67FLOVEMS: 煩回公司一趟 大概只能這樣 06/16 18:43
68Fa05150707: 多幾個確認的手續吧 拍工作證或是電話核對資料啥的 06/16 18:45
69FKYLAT: 駭客:等等,為什麼每一款FIFA系列作的原始碼全部都一樣啊 06/16 18:50
70FKYLAT: ? 06/16 18:50
71Fgooglexxxx: 人家還花了10元耶 06/16 18:51
72Fpoz93: 等級低駭客 花時間破解密碼 等級高駭客 和知道密碼的人要 06/16 18:51
73Fnaya7415963: 原來公司播的資安廣告都是真的... 06/16 18:55
74Fspfy: 前面推文有人提到啦 實際應該沒這麼簡單 只是說個大概而已 06/16 18:56
75Ffragmentwing: 駭客解碼手段本來就有分兩種 一種是敲鍵盤另一種是 06/16 19:03
76Ffragmentwing: 撿垃圾 06/16 19:03
77Fknight831022: EA... 06/16 19:04
78Fnotneme159: 不意外 06/16 19:09
79Fs12358972: 社交工程一直都是內部訓練最常見的r 06/16 19:10
80Fs12358972: 另外難一點的社交工程就是自己做釣魚網站騙你的資料 06/16 19:12
81Fwei115: 現代駭客誰在那邊跟你硬碰硬找漏洞,都馬社交工程騙密碼 06/16 19:14
82FConSeR: 資安最大的問題永遠都是人啊,你就被騙怎麼防 06/16 19:17
83Fqwe04687: 社交工程 最大漏洞是... 06/16 19:18
84Fawenracious: 資安有夠差 06/16 19:28
85FArctica: 那最早的cookie資訊怎麼盜來的XD 06/16 19:28
86Fsecret0409: 撿垃圾找員工email 在發常見的圖片木馬 電影都有教 06/16 19:35
87Fjeeyi345: 駭客外包 06/16 19:42
88Fj19871001: 最早的cookie是網路上買到的 06/16 20:37
89Fsplitline: 問題在Cookie怎麼可以買得到吧 06/16 20:47
90Fk1k1832002: 駭客最重要的一門課真的是社交工程XDD 06/16 20:59
91Fcheng31507: ….. 06/16 22:32
92Flanstype: 駭客:我為什麼要駭ea 逛了一圈都是年貨 沒什麼好看(x 06/16 23:38
93Fitoni: 畢竟整個安全系統中最弱的環節就是人嘛 06/16 23:55
94FOdaman: 這不就是認知作戰? 06/17 01:27
95Fdark2012: 人永遠是最大漏洞 06/17 16:21

c_chat熱門文章

6 [閒聊] 五星物語13 觀後小感
35 2021-07-28 00:45
14 [閒聊] k-on是不是比鬼滅成功
33 2021-07-27 23:51
111 [閒聊] 動視暴雪股價大跌中
189 2021-07-27 23:35
47 [閒聊] 地錯的乳繩輸在哪?
67 2021-07-27 22:12