De nouveaux détails ont été révélés sur la récente violation de données subie par EA et le fabricant de jeux vidéo aurait ignoré les avertissements des chercheurs en sécurité qui auraient pu empêcher les pirates d’accéder à ses systèmes.
Plus tôt ce mois-ci, il a été révélé qu’EA avait été victime d’une violation de données au cours de laquelle des pirates ont pu accéder à son réseau d’entreprise et voler 780 Go de code source, des SDK et d’autres outils propriétaires.
Maintenant, la société de cybersécurité israélienne Cyberpion a révélé à ZDNet qu’il a contacté EA l’année dernière pour informer la société que plusieurs de ses domaines pourraient faire l’objet de prises de contrôle tandis que d’autres contenaient des enregistrements DNS mal configurés.
Selon le cofondateur de Cyberpion, Ori Engelberg, qui s’est entretenu avec le média, EA n’a rien fait pour résoudre les problèmes que la société avait découverts, même après avoir envoyé un document détaillé contenant plus d’informations sur les vulnérabilités ainsi qu’une preuve de concept.
Sommaire
Vulnérabilités de domaine
Un rapport publié par Carte mère jours après la découverte de la violation de données, il a été révélé que les pirates informatiques responsables utilisaient des cookies volés et Slack pour tromper l’un des employés d’EA afin qu’il fournisse une connexion à son réseau d’entreprise.
Cependant, avant même que EA ne soit violé, Engelberg et son équipe auraient tenté d’avertir l’entreprise qu’au moins six vulnérabilités (maintenant 10 selon Engelberg) laissaient plusieurs domaines et autres actifs exposés en ligne. Alors que 15 sites EA servaient des pages de connexion via HTTP par opposition à HTTPS qui est plus sécurisé, d’autres contenaient des erreurs de configuration DNS qui les rendaient vulnérables.
En parlant avec ZDNet, Engelberg a recommandé aux grandes organisations comme EA de mettre hors service les sous-domaines inutilisés et de maintenir leurs certificats à jour afin de protéger leurs réseaux contre des attaques similaires.
Comme Cyberpion a raconté sa version de l’histoire à ZDNet, EA l’a également fait avec un porte-parole de l’entreprise qui a déclaré que la société de cybersécurité l’avait approché pour devenir un fournisseur potentiel. Cependant, selon le porte-parole, Cyberpion n’a pas fourni à EA une liste complète des vulnérabilités et était plus préoccupé par l’organisation d’une réunion commerciale pour « montrer leurs techniques ». Dans le même temps, l’entreprise n’a pas suivi le processus de divulgation des vulnérabilités de sécurité des produits d’EA.
Via ZDNet
