El pasado 10 de Junio Electronic Arts sufría un ataque, según ha confirmado la propia compañía. Los ciberdelincuentes se jactaban en RaidForums de haber obtenido, ni más ni menos, el código fuente de FIFA 21, el del servidor de emparejamiento y otras herramientas cómo el motor de desarrollo Frostbite.

Metodología del ataque

Según Motherboard el ataque se produjo de la siguiente manera. En primer lugar los atacantes se hicieron con una cookie robada por la que pagaron $10. Esta cookie contenía información de acceso a una cuenta de Slack de la compañía. Teniendo acceso al chat de la empresa, los delincuentes se pusieron en contacto con un miembro del departamento de soporte técnico. Argumentando que habían perdido su dispositivo móvil la noche anterior, solicitaron un token de acceso a la red corporativa.

Una vez dentro de la red los atacantes encontraron un servicio para compilar juegos. Además configuraron una máquina virtual y accedieron a otro servicio para descargar el código fuente de FIFA 21. Según la compañía «no hubo acceso a datos de los jugadores, y no hay razón para pensar que haya habido ningún riesgo para su privacidad».

La hacker y CEO de Social Proof Security, Rachel Tobac, se hacía eco en twitter de la noticia. En un hilo al respecto reflexionaba acerca del peligro de considerar Slack cómo un canal interno seguro. Además señalaba la importancia de formar a los empleados para evitar que este tipo de ataques de ingeniería social tengan éxito.

Slack is often thought of as a fully trusted internal channel — orgs wrongly believe social engineering can’t happen there. When hacking I commonly target IT Support 1st, requests to IT Support like the EA intrusion “lost phone, still need network access, please help” work often. https://t.co/AJw5vkVaII

— Rachel Tobac (@RachelTobac) June 11, 2021

Una vez más se demuestra que, por mucho que se implementen medidas de seguridad para evitar este tipo de incidentes, el factor humano siempre entra en juego. Electronic Arts no es la primera compañía en descubrirlo y no será la última. Sin la debida formación en seguridad cualquier sistema es vulnerable, no importa qué medidas de protección se implementen.

Más información:

https://www.vice.com/en/article/wx5xpx/hackers-steal-data-electronic-arts-ea-fifa-source-code

https://www.slashgear.com/the-ea-hack-was-worryingly-simple-11677618/

https://www.vice.com/en/article/7kvkqb/how-ea-games-was-hacked-slack