29. tammikuuta 2017

Tietoturvabugi EA:n tukipalvelussa

Tietoturvabugi EA:n tukipalvelussaJouduin tilanteeseen jossa EA/Origin pelitilini oli joutunut eräänlaiseen limboon kirjautumistilanteessa ja otin yhteyttä EA:n tukipalveluun.

EA tarjoaa sen Yhdysvaltalaisilla tukisivuillaan chat-mahdollisuutta, eli reaaliaikaista tekstipohjaista neuvontaa tukihenkilöstön kanssa.

Toki hain tätä palvelua jotta voisin saada tilini kaksivaiheisen kirjautumisen nollattua, koska en pystynyt syöttämään vaadittuja tunnuksia kirjautumisen aikana ja tiesin että chatin kautta asia hoituu nopeasti pois päivän järjestyksestä.

Turvakysymykset vastauksineen ovat esillä keskusteluhistoriassa:

Huomasin kuitenkin että EA:n tukipalveluihin pystyy kirjautumaan pelkällä salasanalla, eli se ei vaadi käyttäjältä kaksivaiheista kirjautumista (numerosarjaa esimerkiksi sähköpostiin lähetettynä).

Ilman erikseen lähetettävää numerosarjaa ei pysty tekemään tiliin muutoksia mutta esimerkiksi aikaisemmat tuen kanssa käydyt chat-keskustelulokit ovat nähtävillä pelkän salasanan takaa.

Tämähän ei vielä kuulosta kovin vakavalta mutta jotta tukihenkilö pystyy nollaamaan kaksivaiheisen kirjautumisen tai muuttaa tilin asetuksia, tarvitsee hänen tietää tunnukselle jätetyt niin sanotut turvasanat tai vastaukset turvakysymyksiin, näitä on tunnuksella yleensä kaksi tai kolme.

EA:n chatissa tukihenkilö pyytää turvakysymyksiin vastauksia

Otetaanpa esimerkki tapaus:

Käyttäjä on käynyt joskus aikaisemmin chat keskustelua tuen kanssa, tuolloin tuki on pyytänyt vastauksia näihin turvakysymyksiin ja ne ovat myöskin näissä pelkän salasanan takana näkyvissä keskustelulokeissa esillä.

Jos käyttäjän tunnus on joutunut vääriin käsiin, voi tuolloin tilin kirjautumistiedot tietävä henkilö ottaa yhteyttä tukeen ja pyytää kaksivaiheisen kirjautumisen nollaamista tai poistamista kokonaan käytöstä kyseisestä kaapatusta tilistä ja kun tuki kysyy turvakysymykset, on ne löydettävissä helposti keskusteluhistoriasta.

Tuen henkilökunta ei voi tietää mitenkään että kyseessä on juurikin tilin väärinkäyttäjä.

Turvakysymykset on muutoin kyllä piilotettu tilin asetuksissa niin että mikäli niitä haluaa muuttaa tai nähdä, täytyy kaksivaiheisen kirjautumisen numerokoodi tuolloin syöttää sivulle.

Turvakysymykset ovat siis turvassa kyllä jos tilin omistaja ei ole niitä tukipalveluun vielä kertaakaan kertonut.

On joka tapauksessa selvää se että niin kuin myös salasanan vaihtaminen, niin myös turvakysymyksien ja vastauksien muuttaminen ja vaihtaminen on yhtä tärkeitä.