GN⁺: 일렉트로닉 아츠 7억 개 계정 해킹 사건

• EA의 개발 환경인 "integration"에서 테스트를 진행하던 중, 특정 게임의 실행 파일에 하드코딩된 자격 증명을 통해 권한 있는 액세스 토큰을 얻음.

인증 문서

• API 문서의 노출 여부를 확인하기 위해 여러 엔드포인트를 스캔함.
• /connect/api-docs/index.json에서 Swagger JSON 파일을 발견하여 Nexus Connect API의 전체 Swagger 구현을 확인함.
• Swagger 파일을 OpenAPI 3.0 사양으로 업데이트하여 로컬 Swagger UI 서버에서 실행함.

더 많은 것을 찾기 위해

• EA Desktop은 여러 백엔드 서비스를 통합하는 GraphQL API인 "Service Aggregation Layer"를 사용함.
• gateway.int.ea.com에서 80개 이상의 서비스 엔드포인트를 발견함.

금광 발견

• 모든 엔드포인트를 요청하고 OpenAPI 사양으로 변환하여 다양한 데이터를 확인함.
• 특정 게임 팀에 대한 데이터와 같은 흥미로운 정보를 발견함.

프로덕션 시간

• 프로덕션 OAuth 클라이언트로 접근 가능한 엔드포인트를 탐색함.
• /identity/pids/me와 /identity/pids/me/personas 엔드포인트를 통해 계정 정보와 "페르소나" 목록을 확인함.

큰 발견

• /identity/pids/{pidId}/personas/{personaId} 엔드포인트를 통해 페르소나를 업데이트할 수 있음을 발견함.
• 사용자 이름 변경, 페르소나 상태 변경, 다른 계정으로의 페르소나 이동 등의 작업이 가능함.

또 다른 깨달음

• /identity/namespaces/{namespace}/personas 엔드포인트를 통해 숨겨진 계정도 검색 가능함.
• 다른 계정의 페르소나를 자신의 계정으로 이동시켜 계정 데이터를 제어할 수 있음.

세 번째 시도

• Xbox/PSN 토큰을 사용하여 2FA를 우회하고 계정에 로그인할 수 있음을 발견함.
• Xbox에서 게임에 로그인하여 피해자 계정에 접근할 수 있었음.

영향

• 공격자는 페르소나 데이터를 이동시켜 사용자 이름과 게임 데이터를 훔칠 수 있음.
• Xbox를 통해 계정에 로그인하여 피해자 계정에 접근할 수 있음.
• 페르소나를 금지하거나 사용자 이름을 변경할 수 있음.

몇 가지 생각

• EA가 문제를 해결하는 데 시간이 걸렸으며, 버그 바운티 프로그램이 없다는 점이 아쉬움.
• EA와의 협력은 긍정적이었음.

타임라인

• 2024년 6월 16일 - EA에 취약점 보고
• 2024년 7월 8일 - 패치 1 배포 (페르소나 소유권 확인)
• 2024년 9월 10일 - 패치 4 배포 (문서 제거)