1. PTT
  2. C_Chat

[新聞] 盜取 EA 原始碼這麼簡單?駭客:入侵

作者: Clarkliu (noname)   2021-06-16 17:58:42
盜取 EA 原始碼這麼簡單?駭客:入侵 Slack 聊天室然後直接要密碼就行
https://technews.tw/2021/06/15/ea-slack/
EA 美商藝電日前遭駭客入侵,竊取約 780GB 遊戲原始碼資料,如《FIFA 21》、
Frostbite 引擎(不僅 EA 旗下足球/美式足球系列遊戲採用,而且也應用在《戰地風雲
》系列),且這些資料已在地下論壇流傳。諷刺的是這起事件始作俑者竟是「EA」本身,
因 EA 親自把登入權限交給駭客。
科技新聞網站 Motherboard 採訪參與此次事件的駭客,聲稱他們只用很簡單的「詐騙」
手法,就輕易得到 EA 內部網路權限;而非如外界想像,一路突破重重關卡,破解 EA 安
全機制後才盜取資料。
駭客解釋,首先他們先在網路花 10 美元買被盜用的 Cookie,因 Cookies 保存特定使用
者的登錄資訊,讓駭客可冒充他人身份登入。駭客利用被盜的 Cookie,獲得 EA 使用的
Slack 頻道許可權,並進入 EA 的 Slack。
駭客說明,一旦進入 EA Slack 聊天室後,便向 IT 部門其中一位成員發送訊息,聲稱「
我」在聚會遺失手機,成功騙到 IT 部門重新發給他的 EA 內網登入認證。駭客透露,他
們利用這種簡單的「詐騙」方式,成功騙到兩次認證。
登入 EA 內部網路後,駭客便發現為 EA 開發人員編譯遊戲程式的服務,於是便在上面創
建虛擬機器,使他們對 EA 內部網路有更多瞭解。之後駭客不僅「瀏覽」許多 EA 內網服
務,同時還「盡其所能」下載遊戲原始程式碼。
報導指出,接受採訪的駭客最後還提供螢幕截圖,證實受訪內容像是 Slack 聊天紀錄等
;EA 隨後也證實駭客對入侵事件的描述。
作者: r85270607 (DooMguy)   2021-06-16 18:00:00
有差嗎 EA不都賣你外觀 抽抽 跟服務型遊戲
作者: chadmu (查德姆)   2021-06-16 18:00:00
爛公司不意外
作者: storyo11413 (小便)   2021-06-16 18:00:00
有夠廢
作者: devilkool (對貓毛過敏的貓控)   2021-06-16 18:00:00
Slack原來這麼好被盜喔
作者: llabc1000 (野生的攻城獅)   2021-06-16 18:00:00
看起來比較接近詐騙而不是駭客
作者: hinanaitenco (桃子好吃)   2021-06-16 18:01:00
社會工程
作者: winda6627 (Fallen Wing)   2021-06-16 18:02:00
駭客:結果發現EA沒什麼有料的內容,只有(RY。
作者: a05150707 (Tw)   2021-06-16 18:02:00
這種也算駭客行為阿 社交工程
作者: spfy (spfy)   2021-06-16 18:02:00
有種專有名詞社交工程攻擊
作者: a05150707 (Tw)   2021-06-16 18:03:00
使用一切能使用的漏洞來騙取權限 包含騙人 猜密碼
作者: Vedfolnir (Vedfolnir)   2021-06-16 18:03:00
オレオレ詐欺
作者: a25785885 (SuperbbMan)   2021-06-16 18:04:00
遊戲原始碼沒什麼用吧?只是想自抬身價而已
作者: lturtsamuel (港都都教授)   2021-06-16 18:04:00
可憐IT要回家吃自己惹
作者: allanbrook (翔)   2021-06-16 18:04:00
這樣還算駭嗎
作者: spfy (spfy)   2021-06-16 18:05:00
第一次看到這名詞還以為是唬爛 後來才知道不但真的還很常用
作者: r85270607 (DooMguy)   2021-06-16 18:05:00
有點忘記專門定義了
作者: Bencrie   2021-06-16 18:05:00
社交工程無敵
作者: jeeyi345 (letmein)   2021-06-16 18:05:00
笑了
作者: amsmsk (449)   2021-06-16 18:05:00
slack XDDD
作者: allanbrook (翔)   2021-06-16 18:05:00
這好過分 雖然也是他們不夠謹慎啦XD
作者: r85270607 (DooMguy)   2021-06-16 18:06:00
例如密碼猜測是生日或電話號碼
作者: jeeyi345 (letmein)   2021-06-16 18:06:00
麥克偷換iPhone的任務是真的
作者: xxoooxx34567 (xxoooxx345678)   2021-06-16 18:06:00
結果code看到一半發現要買DLC
作者: a05150707 (Tw)   2021-06-16 18:07:00
釣魚信說你中iphone這種也有社交工程的概念
作者: tonyy801101 (tonyy801101)   2021-06-16 18:07:00
原始碼跟作品著作一樣重要的
作者: Fallere (其實都一樣)   2021-06-16 18:07:00
IT是要教員工防類似招數的那邊欸,自己中招是怎樣
作者: chuckni (SHOUGUN)   2021-06-16 18:08:00
EA XDDDDDD
作者: storyo11413 (小便)   2021-06-16 18:08:00
社交工程一直都算阿 太基本了
作者: lolic (lolic)   2021-06-16 18:08:00
wwwwwwwwwwww
作者: LOVEMS (等到越過天空那天)   2021-06-16 18:08:00
一般來說不是要寄回原公司信箱嗎?
作者: Wolfclaw (Wolfclaw)   2021-06-16 18:08:00
社交工程=最大的資安漏洞是人
作者: Clarkliu (noname)   2021-06-16 18:09:00
他們買cookie回來用 也算駭客啦
作者: knight45683 (今晚吃烤肉)   2021-06-16 18:11:00
EA...
作者: Porops (豬排)   2021-06-16 18:13:00
社交工程一直以來都是常見駭客手段之一,畢竟人才是最難防的
作者: AirForce00 (丹陽P)   2021-06-16 18:13:00
記得當年gta5剛推出沒多久,就有人模仿麥可的手段,成功入侵遊戲公司。那時還上了新聞
作者: f1426871 (熊寶)   2021-06-16 18:14:00
24樓笑死
作者: aCCQ (阿賢)   2021-06-16 18:15:00
XDDD
作者: bobby4755 (蒼鬱之夜)   2021-06-16 18:15:00
在上班的人真的不會想那麼多 XD
作者: tyifgee (pttnoob)   2021-06-16 18:16:00
假冒身分騙 很會
作者: LOVEMS (等到越過天空那天)   2021-06-16 18:18:00
IT通常會與人方便 我覺得這個真的比較沒辦法
作者: leamaSTC (LeamaS)   2021-06-16 18:20:00
結果駭完後發現好像沒啥好爆料的 還不如駭卡普空
作者: potential208 (水與風)   2021-06-16 18:21:00
駭客本來就是由這種手法起家的
作者: gary82gary (Gary)   2021-06-16 18:21:00
釣魚信釣魚網站都算社交工程,slack那段應該不只買Cookie那麼簡單,方法有所保留
作者: ryanmulee (ryanmulee)   2021-06-16 18:22:00
盜了發現要花4.99美元解鎖
作者: DJYOSHITAKA (Evans)   2021-06-16 18:24:00
幹 碩班實驗室就用slack 想到就頭痛
作者: tmwolf (魯神)   2021-06-16 18:24:00
it人員鬆的跟什麼一樣
作者: iamnotgm (伽藍之黑)   2021-06-16 18:26:00
搞這塊的人都介於鬆和嚴的不連續狀態阿 為了防止外洩
作者: blackone979 (歐派は俺の嫁)   2021-06-16 18:26:00
這個問題點在Cookie怎麼流出去的 跟防火牆建構沒關
作者: a1919979 (狐狸精婊子)   2021-06-16 18:26:00
我一直在思考一件事 刻意釋放乳滑言論能不能達到用社交工程的方式反外掛跟防盜版的效果
作者: aaaaooo (路過鄉民)   2021-06-16 18:27:00
那個被冒用身分的人應該挺慘
作者: blackone979 (歐派は俺の嫁)   2021-06-16 18:27:00
那個SLACK本來就只有社內人員能進去 如果你還要懷疑每個人是真是假 事情都不用做了
作者: coolboy16 (大玩具)   2021-06-16 18:33:00
因為這個事件我們公司最近才用詐騙連結測試員工XD....結果大概有將近10%會中招 大部分因素都是信很多,想趕快把CASE解決所以沒有防範之心
作者: horseorange (橘小馬)   2021-06-16 18:35:00
有Cookie就能登進去是真的假的?
作者: runedcross (Shiki)   2021-06-16 18:37:00
社交工程本來就占不小的比例
作者: streakray (條紋衣boy)   2021-06-16 18:39:00
詐騙無敵
作者: smart0eddie (smart0eddie)   2021-06-16 18:40:00
這個要怎麼防騙啊
作者: LOVEMS (等到越過天空那天)   2021-06-16 18:43:00
就需要認證或帳密的東西寄公司信箱 公司信箱也進不去就麻煩回公司一趟 大概只能這樣
作者: a05150707 (Tw)   2021-06-16 18:45:00
多幾個確認的手續吧 拍工作證或是電話核對資料啥的
作者: KYLAT (凱拉特)   2021-06-16 18:50:00
駭客:等等,為什麼每一款FIFA系列作的原始碼全部都一樣啊?
作者: googlexxxx (googlexxxx)   2021-06-16 18:51:00
人家還花了10元耶
作者: poz93 (jaien)   2021-06-16 18:51:00
等級低駭客 花時間破解密碼 等級高駭客 和知道密碼的人要
作者: naya7415963 (稻草魚)   2021-06-16 18:55:00
原來公司播的資安廣告都是真的...
作者: spfy (spfy)   2021-06-16 18:56:00
前面推文有人提到啦 實際應該沒這麼簡單 只是說個大概而已
作者: fragmentwing (片翼碎夢)   2021-06-16 19:03:00
駭客解碼手段本來就有分兩種 一種是敲鍵盤另一種是撿垃圾
作者: knight831022 (knight831022)   2021-06-16 19:04:00
EA...
作者: notneme159   2021-06-16 19:09:00
不意外
作者: s12358972 (Spice)   2021-06-16 19:10:00
社交工程一直都是內部訓練最常見的r另外難一點的社交工程就是自己做釣魚網站騙你的資料
作者: wei115 (ㄎㄎ)   2021-06-16 19:14:00
現代駭客誰在那邊跟你硬碰硬找漏洞,都馬社交工程騙密碼
作者: ConSeR (草履重根)   2021-06-16 19:17:00
資安最大的問題永遠都是人啊,你就被騙怎麼防
作者: qwe04687 (國一臭宅)   2021-06-16 19:18:00
社交工程 最大漏洞是...
作者: awenracious (Racious)   2021-06-16 19:28:00
資安有夠差
作者: Arctica (欲聆聽,必先靜默)   2021-06-16 19:28:00
那最早的cookie資訊怎麼盜來的XD
作者: secret0409 (翹腳)   2021-06-16 19:35:00
撿垃圾找員工email 在發常見的圖片木馬 電影都有教
作者: jeeyi345 (letmein)   2021-06-16 19:42:00
駭客外包
作者: j19871001 (老涂)   2021-06-16 20:37:00
最早的cookie是網路上買到的
作者: splitline (台ㄎ廢文王)   2021-06-16 20:47:00
問題在Cookie怎麼可以買得到吧
作者: k1k1832002 (Matoriel)   2021-06-16 20:59:00
駭客最重要的一門課真的是社交工程XDD
繼續閱讀
[問題] 未來日記動畫請教tomcoollee[個資] 二之國:惹爭議,銀行戶口身份證都要SuperSg[閒聊] 丐幫是不是最省錢的無本幫派?ilaneseRe: [天2M] 轉生異世界 交朋友居然這麼難mid2sisRe: [HOLO]台北市政府感謝你XDDDAMDMARSHAL[MLTD] 私下販售周邊發大財的我東窗事發出大事powerstone3[BGD] 裝熟失敗還被青 songgood[40K] 達摩克利斯戰區 第四次擴張(24)chuckniRe: [閒聊] 零濡鴉的恐怖程度如何?knight45683Re: [閒聊] 大家會喜歡“密特羅德”這個翻譯嗎?Lex4193

Links booklink

Contact Us: admin [ a t ] ucptt.com