楼主:
Clarkliu (noname)
2021-06-16 17:58:42盗取 EA 原始码这么简单?骇客:入侵 Slack 聊天室然后直接要密码就行
https://technews.tw/2021/06/15/ea-slack/
EA 美商艺电日前遭骇客入侵,窃取约 780GB 游戏原始码资料,如《FIFA 21》、
Frostbite 引擎(不仅 EA 旗下足球/美式足球系列游戏采用,而且也应用在《战地风云
》系列),且这些资料已在地下论坛流传。讽刺的是这起事件始作俑者竟是“EA”本身,
因 EA 亲自把登入权限交给骇客。
科技新闻网站 Motherboard 采访参与此次事件的骇客,声称他们只用很简单的“诈骗”
手法,就轻易得到 EA 内部网络权限;而非如外界想像,一路突破重重关卡,破解 EA 安
全机制后才盗取资料。
骇客解释,首先他们先在网络花 10 美元买被盗用的 Cookie,因 Cookies 保存特定使用
者的登录资讯,让骇客可冒充他人身份登入。骇客利用被盗的 Cookie,获得 EA 使用的
Slack 频道权限,并进入 EA 的 Slack。
骇客说明,一旦进入 EA Slack 聊天室后,便向 IT 部门其中一位成员发送讯息,声称“
我”在聚会遗失手机,成功骗到 IT 部门重新发给他的 EA 内网登入认证。骇客透露,他
们利用这种简单的“诈骗”方式,成功骗到两次认证。
登入 EA 内部网络后,骇客便发现为 EA 开发人员编译游戏程式的服务,于是便在上面创
建虚拟机器,使他们对 EA 内部网络有更多了解。之后骇客不仅“浏览”许多 EA 内网服
务,同时还“尽其所能”下载游戏原始程式码。
报导指出,接受采访的骇客最后还提供萤幕截图,证实受访内容像是 Slack 聊天纪录等
;EA 随后也证实骇客对入侵事件的描述。
作者:
chadmu (查德姆)
2021-06-16 18:00:00烂公司不意外
作者: storyo11413 (小便) 2021-06-16 18:00:00
有够废
作者:
llabc1000 (野生的攻城ç…)
2021-06-16 18:00:00看起来比较接近诈骗而不是骇客
作者:
winda6627 (Fallen Wing)
2021-06-16 18:02:00骇客:结果发现EA没什么有料的内容,只有(RY。
作者:
spfy (spfy)
2021-06-16 18:02:00有种专有名词社交工程攻击
作者: Vedfolnir (Vedfolnir) 2021-06-16 18:03:00
オレオレ诈欺
作者:
a25785885 (SuperbbMan)
2021-06-16 18:04:00游戏原始码没什么用吧?只是想自抬身价而已
作者:
spfy (spfy)
2021-06-16 18:05:00第一次看到这名词还以为是唬烂 后来才知道不但真的还很常用
作者:
jeeyi345 (letmein)
2021-06-16 18:05:00笑了
作者:
amsmsk (449)
2021-06-16 18:05:00slack XDDD
作者:
jeeyi345 (letmein)
2021-06-16 18:06:00麦克偷换iPhone的任务是真的
作者: tonyy801101 (tonyy801101) 2021-06-16 18:07:00
原始码跟作品著作一样重要的
作者:
Fallere (其实都一样)
2021-06-16 18:07:00IT是要教员工防类似招数的那边欸,自己中招是怎样
作者:
chuckni (SHOUGUN)
2021-06-16 18:08:00EA XDDDDDD
作者: storyo11413 (小便) 2021-06-16 18:08:00
社交工程一直都算阿 太基本了
作者:
lolic (lolic)
2021-06-16 18:08:00wwwwwwwwwwww
作者:
LOVEMS (ç‰åˆ°è¶ŠéŽå¤©ç©ºé‚£å¤©)
2021-06-16 18:08:00一般来说不是要寄回原公司信箱吗?
作者:
Wolfclaw (Wolfclaw)
2021-06-16 18:08:00社交工程=最大的资安漏洞是人
楼主:
Clarkliu (noname)
2021-06-16 18:09:00他们买cookie回来用 也算骇客啦
作者:
Porops (猪排)
2021-06-16 18:13:00社交工程一直以来都是常见骇客手段之一,毕竟人才是最难防的
作者: AirForce00 (丹阳P) 2021-06-16 18:13:00
记得当年gta5刚推出没多久,就有人模仿麦可的手段,成功入侵游戏公司。那时还上了新闻
作者: f1426871 (熊宝) 2021-06-16 18:14:00
24楼笑死
作者:
aCCQ (阿贤)
2021-06-16 18:15:00XDDD
作者: bobby4755 (苍郁之夜) 2021-06-16 18:15:00
在上班的人真的不会想那么多 XD
作者: tyifgee (pttnoob) 2021-06-16 18:16:00
假冒身分骗 很会
作者:
LOVEMS (ç‰åˆ°è¶ŠéŽå¤©ç©ºé‚£å¤©)
2021-06-16 18:18:00IT通常会与人方便 我觉得这个真的比较没办法
作者:
leamaSTC (LeamaS)
2021-06-16 18:20:00结果骇完后发现好像没啥好爆料的 还不如骇卡普空
钓鱼信钓鱼网站都算社交工程,slack那段应该不只买Cookie那么简单,方法有所保留
作者:
ryanmulee (ryanmulee)
2021-06-16 18:22:00盗了发现要花4.99美元解锁
作者:
tmwolf (鲁神)
2021-06-16 18:24:00it人员松的跟什么一样
作者:
iamnotgm (ä¼½è—之黑)
2021-06-16 18:26:00搞这块的人都介于松和严的不连续状态阿 为了防止外泄
作者:
blackone979 (ææ´¾ã¯ä¿ºã®å«)
2021-06-16 18:26:00这个问题点在Cookie怎么流出去的 跟防火墙建构没关
作者:
a1919979 (狐狸精婊子)
2021-06-16 18:26:00我一直在思考一件事 刻意释放乳滑言论能不能达到用社交工程的方式反外挂跟防盗版的效果
作者:
aaaaooo (路过乡民)
2021-06-16 18:27:00那个被冒用身分的人应该挺惨
作者:
blackone979 (ææ´¾ã¯ä¿ºã®å«)
2021-06-16 18:27:00那个SLACK本来就只有社内人员能进去 如果你还要怀疑每个人是真是假 事情都不用做了
因为这个事件我们公司最近才用诈骗连结测试员工XD....结果大概有将近10%会中招 大部分因素都是信很多,想赶快把CASE解决所以没有防范之心
作者: streakray (条纹衣boy) 2021-06-16 18:39:00
诈骗无敌
作者:
LOVEMS (ç‰åˆ°è¶ŠéŽå¤©ç©ºé‚£å¤©)
2021-06-16 18:43:00就需要认证或帐密的东西寄公司信箱 公司信箱也进不去就麻烦回公司一趟 大概只能这样
作者:
KYLAT (凯拉特)
2021-06-16 18:50:00骇客:等等,为什么每一款FIFA系列作的原始码全部都一样啊?
作者:
poz93 (jaien)
2021-06-16 18:51:00等级低骇客 花时间破解密码 等级高骇客 和知道密码的人要
作者:
spfy (spfy)
2021-06-16 18:56:00前面推文有人提到啦 实际应该没这么简单 只是说个大概而已
骇客解码手段本来就有分两种 一种是敲键盘另一种是捡垃圾
作者: notneme159 2021-06-16 19:09:00
不意外
社交工程一直都是内部训练最常见的r另外难一点的社交工程就是自己做钓鱼网站骗你的资料
作者:
wei115 (ㄎㄎ)
2021-06-16 19:14:00现代骇客谁在那边跟你硬碰硬找漏洞,都马社交工程骗密码
作者:
ConSeR (草履重根)
2021-06-16 19:17:00资安最大的问题永远都是人啊,你就被骗怎么防
作者:
Arctica (欲聆听,必先静默)
2021-06-16 19:28:00那最早的cookie资讯怎么盗来的XD
作者: secret0409 (翘脚) 2021-06-16 19:35:00
捡垃圾找员工email 在发常见的图片木马 电影都有教
作者:
jeeyi345 (letmein)
2021-06-16 19:42:00骇客外包