Le service Origin qui regroupe les jeux Electronic Arts a été victime d'une faille exposant les données personnelles de certains joueurs.
Un chercheur en sécurité a ainsi pointé du doigt le bug en question le 1er octobre dernier : lorsqu'un joueur modifiait son compte sur le site EA.com, le client EA Origin créait une URL de connexion automatique intégrant un jeton équivalent au nom d'utilisateur et mot de passe associé. Une procédure standard pour de nombreuses applications. Sauf que dans le cas d'Origine, l'URL n'était pas liée à l'adresse IP ni aux fichiers cookies déjà enregistrés au nom de l'utilisateur.
En clair, si l'utilisateur réalisait la procédure sur un réseau WiFi public ou autre réseau non sécurisé, il était possible de récupérer l'URL en question et de l'utiliser depuis n'importe quel poste pour se connecter à son compte et récupérer des données personnelles.
Sont ainsi ciblés les noms réels des utilisateurs ainsi que leurs coordonnées bancaires. EA a rapidement colmaté la brèche et invite ainsi à procéder à la mise à jour de l'application Origin.
