Un servef EA Games è stato compromesso da alcuni hacker, ed è ora molti Apple ID sono in pericolo, o sono già stati rubati.
Il server compromesso è utilizzato da due siti web con dominio ea.com, ed è normalmente utilizzato per ospitare un calendario basato su WebCalendar 1.2.0. Questa versione è stata rilasciata nel settembre 2008 e contiene diverse vulnerabilità di sicurezza che sono state affrontate nelle versioni successive. Ad esempio, CVE-2012-5385. La vulnerabilità consente ad un utente malintenzionat,o non autenticato, di modificare le impostazioni, ed eventualmente eseguire un codice arbitrario. E’ probabile una di queste vulnerabilità che è stata utilizzata per compromettere il server, come il contenuto di phishing che si trova nella stessa directory dell’applicazione WebCalendar.
l sito di phishing tenta di ingannare la vittima nel presentare il proprio ID Apple e ovviamente la password. Si presenta quindi un secondo modulo che chiede alla vittima di verificare il suo nome completo, numero di carta, data di scadenza, codice di verifica, data di nascita, numero di telefono, il nome da nubile della madre, più altri dettagli che potrebbero essere utili ad un truffatore. Dopo aver inviato queste informazioni, la vittima viene reindirizzata al legittimo sito web Apple ID in https://appleid.apple.com/cgi-bin/WebObjects/MyAppleId.woa/, che ovviamente vi invitiamo a NON visitare.
Il server compromesso è ospitato all’interno della propria rete di EA. I Server internet-visibile compromessi sono spesso usati come “pietre miliari”, per attaccare i server interni ed accedere quindi ai dati che altrimenti sarebbero invisibili su internet, anche se non vi è alcuna evidente che tutto ciò sia successo attualmente.
In questo caso, l’hacker è riuscito ad installare ed eseguire uno script PHP arbitrario sul server EA, quindi è probabile che egli può almeno visualizzare il contenuto del calendario, e parte del codice sorgente e altri dati presenti sul server. La sola presenza del vecchio software, spesso in grado di fornire un incentivo sufficiente per un hacker, ad indirizzare un sistema piuttosto che un altro, e di dedicare più tempo alla ricerca di ulteriori vulnerabilità o cercando di sondare più a fondo nella rete interna.
Oltre ad ospitare siti di phishing, EA Games è anche il bersaglio di attacchi che tentano di rubare le credenziali degli utenti del proprio phishing, della piattaforma d’origine. Ad esempio, il sito, che è stato online per più di una settimana, sta tentando di rubare indirizzi e-mail, password e la vostra domanda di sicurezza, con annesse risposte.
Il consiglio che vi diamo al momento è di non eseguire il login a server Origin o EA, fino a quando tutto non sarà risolto.
[via]