Electronic Artsのデータ侵害、スタッフのPCから盗まれたcookieが入り口に 35
ストーリー by headless
入口 部門より
入口 部門より
先日発生した Electronic Arts (EA)のデータ侵害で、ハッカーグループが(EAスタッフのPCから)盗まれたcookieを入手して侵入の入り口にしたとMotherboardが報じている(Motherboardの記事、 HackReadの記事、 Neowinの記事、 SlashGearの記事)。
グループの代理人とされる人物がオンラインチャットでMotherboardに伝えたところによれば、攻撃の始まりはオンラインで10ドルで売られているcookieの購入だったという。このcookieを用いてSlackにログインしたハッカーはEAのSlackチャンネルへのアクセスが可能となり、チャットでITサポート担当者に携帯電話をなくしたとメッセージを送って多要素認証トークンを入手。EAの社内ネットワークに侵入して複数のサービスにログインし、ゲームやツールのソースコードを盗み出したとのこと。
グループはFIFA 21やFrostbiteエンジンなどのソースコード計780GBを入手したと主張し、さまざまなアンダーグラウンドフォーラムで売り出しているそうだ。EAは一部のソースコードが盗まれたことを認めたうえで、プレイヤーのデータにはアクセスされていないと説明し、セキュリティを改善したことやビジネスに影響がないなどとする声明をメディアに出している。
グループの代理人とされる人物がオンラインチャットでMotherboardに伝えたところによれば、攻撃の始まりはオンラインで10ドルで売られているcookieの購入だったという。このcookieを用いてSlackにログインしたハッカーはEAのSlackチャンネルへのアクセスが可能となり、チャットでITサポート担当者に携帯電話をなくしたとメッセージを送って多要素認証トークンを入手。EAの社内ネットワークに侵入して複数のサービスにログインし、ゲームやツールのソースコードを盗み出したとのこと。
グループはFIFA 21やFrostbiteエンジンなどのソースコード計780GBを入手したと主張し、さまざまなアンダーグラウンドフォーラムで売り出しているそうだ。EAは一部のソースコードが盗まれたことを認めたうえで、プレイヤーのデータにはアクセスされていないと説明し、セキュリティを改善したことやビジネスに影響がないなどとする声明をメディアに出している。
オンラインで10ドルで売られているcookie (スコア:5, おもしろおかしい)
これ一般の人に説明しようとしたら尽く誤解を招きそう笑
Re:オンラインで10ドルで売られているcookie (スコア:2, おもしろおかしい)
なぜか画面中央に表示されたクッキーを無数の指がクリックしている絵面が思い浮かんだ
Re: (スコア:0)
なつかしいな。
https://orteil.dashnet.org/cookieclicker/ [dashnet.org]
Re: (スコア:0)
俺もなに言ってんだこいつと二度見しました。
Re: (スコア:0)
小学生が道端で売ってそう
どこで防ぐべきか (スコア:1)
どこの段階で防ぐべきだっただろうか。
・cookieを盗まれない
→ 未知の脆弱性もあるだろうし、ここで100%防衛は無理。
・チャットでITサポート担当者に携帯電話をなくしたとメッセージを送って多要素認証トークンを入手
→ やっぱここか。
「携帯電話無くしたんだけど」ってオレオレ詐欺ばりの手口にひっかかるのがダメってことか。
うちの会社だと、社内で受け取りか、社内システムに事前登録した住所への送付しか選択肢が無い。
Re:どこで防ぐべきか (スコア:1)
780GBも抜かれる前に検出
Re: (スコア:0)
この手の会社で780GBてゴミみたいな容量だと思うけど……。
Re:どこで防ぐべきか (スコア:1)
・可能なら境界性防御も組み合わせる。
・IPレンジが大きく変わったらCookieを無効にして再認証させる
・重要なトークンの再発行はコールバックする
・社員証などを提示させる
社内用の手続きなら何らかの方法でコールバックさせるのが一番楽かな。(携帯を無くしたならメールとか。)そこをスキップさせようとするなら物理ID提示させる。
[Q][W][E][R][T][Y]
Re: (スコア:0)
cookie(トークン)の期限を短くするのは?
Re: (スコア:0)
短期間で何度も客にログインさせると客離れ増えるからそれはできないんだよな
Re: (スコア:0)
再アクセス時に再発行でいいんじゃないかな?
有効期限は3日ぐらいにすれば週末あっても大丈夫
3連休あると期限切れになるけど
Re: (スコア:0)
それ犯罪者も3日ごとに再発行を受けて半永久的にcookieの期限延ばせちゃうから逆に危険じゃね
正当な利用者だけが割を食うことに
Re: (スコア:0)
短期間にしておくは基本。
今回みたいなケースだと十分有効だろ。
それに長ければ延々使われる状態になるのは変わりはない。
Re: (スコア:0)
OAuth 2.0みたいに、再発行には隠し持っている別の認証情報(リフレッシュトークン)を要求するというのはどうだろうか。
Re: (スコア:0)
盗まれてから3日以内にアクセスすることが出来ればだが
ノートPCから抜きとって、ネットで販売して購入されて使われての期間が3日だと凄く厳しいかと
クッキーに再発行の回数記憶するとか
もちろん再発行時の情報(IPアドレスやエージェントなど)を記録しておいてチェックするなどやり方はあるかと
Re: (スコア:0)
cookie廃止が加速するな
Re:どこで防ぐべきか (スコア:1)
cookieにポータビリティがあるのが問題なんじゃね?
Re: (スコア:0)
ポータビリティがあったわけではなく、セキュリティとかプライバシーに無頓着な時代だっただけ
Re: (スコア:0)
こうですか
よーしパパ、ローカルストレージに保存してやるぞ!
Re: (スコア:0)
>EAスタッフのPCから
この時点
Re: (スコア:0)
でも今回のケースcookie盗まれた=Slack入られたの時点でかなり深刻じゃね。
そこからの携帯電話のやり取りは多数の侵入可能経路の一つに過ぎない気がする。
100%防衛は無理と言われると返す言葉もないけど…そういう前提だとSlackはほぼパブリックの世界としての運用が必要か。
セッションハイジャック (スコア:1)
slackにセッションハイジャック脆弱性があるように読めるけどそういうことなの?、
Re: (スコア:0)
今回のcookieの盗み元が、slackサービス側かユーザー環境側かによるんじゃないかな?
前者だと影響がEAにとどまる理由があまりないから後者だと思う
肝心のソースへのリンクがない (スコア:1)
How Hackers Used Slack to Break into EA Games
https://www.vice.com/en/article/7kvkqb/how-ea-games-was-hacked-slack [vice.com]
ストーリーの文章の大部分はこの記事がソースだね
Re:肝心のソースへのリンクがない (スコア:1)
Re:肝心のソースへのリンクがない (スコア:1)
一例としてストーリー中の「グループの代理人とされる人物がオンラインチャットでMotherboardに伝えた」という話はストーリー内のリンク(Motherboardの記事 [vice.com]、 HackReadの記事 [hackread.com]、 Neowinの記事 [neowin.net]、 SlashGearの記事 [slashgear.com])のいずれでもカバーしていないように見えます。
Re:肝心のソースへのリンクがない (スコア:1)
Re:肝心のソースへのリンクがない (スコア:1)
例のメソッド [srad.jp]ですね。
-- う~ん、バッドノウハウ?
Cookieを売る理由とは (スコア:0)
Slackユーザーの(生きている)Cookieを抜き取る手段としては、
(1) オフィスや社員宅から廃棄・盗難されたPCから抜き取る、もしくは物理的に侵入して抜き取る
(2) Slackの脆弱性を利用して抜き取る
(3) ブラウザの脆弱性を利用して抜き取る
(4) 何らかのマルウェアを経由、もしくはWindowsの脆弱性を利用して抜き取る
のいずれかになると思う。
(1)ならEAやその社員がマヌケ。
(2)(3)だと大問題になるが、とりあえず今のところそういう話は出ていない。(未知の脆弱性ということはあり得る)
一番ありそうなのは(4)なんだが、そんなことができるならCookieを抜き取って$10で売るようなしょっぱい商売をせずともそのバックドア自体をもっと高値で売れそうな気もする。
「Cookieなら$10、PCを丸ごと乗っ取れるバックドアなら$10,000」みたいな値付けだったのかもしれないが、そこまでは記事に書いてないな。
Re: (スコア:0)
(5) フィッシングでSlackの資格情報(ID・パスワード)を手に入れた可能性は?
資格情報を販売するなら売り切りにせざるを得ないから、ログインcookieだけ小出しに売って長く稼ごうとしたりとか。
Re: (スコア:0)
それだと「(EAスタッフのPCから)盗まれたcookie」という表現と矛盾するな……と思ったけど、Motherboardへ情報提供した犯人グループの話 [vice.com]だと「盗まれたcookieを買った」(purchasing stolen cookies)というだけで、このハッカーグループがcookieを盗んだわけじゃないし、それが本当に盗まれたcookieなのかどうか彼らも分からないはずなんだよね(だから括弧書きなのか?)
Re: (スコア:0)
(6) 電車の中で拾ったSlackのCD-ROMをインストールしたら中に入ってたのはマルウェアだった
Re:Cookieを売る理由とは (スコア:1)
Re: (スコア:0)
Motherboardの続報によると(4)が正解だった模様。
Inside the Market for Cookies That Lets Hackers Pretend to Be You - VICE
https://www.vice.com/amp/en/article/n7b3jm/genesis-market-buy-cookies-slack [vice.com]
cookie窃取用にマルウェアに感染したボットネットの一部を切り売りしているサイトがあるようですね。
cookieだけで$10なのではなく、バックドア自体が$10ということなのでしょう。