Siber güvenlik araştırmacıları, kısa süre önce video oyunu devi Electronic Arts (EA) şirketine ait Slack kanallarının bir listesini kopyalamalarına izin veren bir açık keşfetti. Sorun çok kısa zamanda giderildi ancak öyle görünüyor ki bulunan bu açık, araştırmacılar tarafından değil de bilgisayar korsanları tarafından keşfedilmiş olsaydı, kanal adlarını ve gizli şirket projeleriyle ilgili diğer bilgileri ortaya çıkarmak çok da zor olmazdı.
Konuya açıklık getiren isim, sorunu bulduktan sonra EA'ya bildiren Dubai merkezli siber güvenlik firması spiderSilk'in araştırmacısı Mossab Hussein oldu. Hussein’e göre açığın sebebi mühendislerin yaptığı bir kodlama hatasıydı ve bu hatadan etkilenen toplam 29 bin adet kanal bulunuyordu.
Hussein ayrıca “Slack için giriş şifreleri EA'nın PagerDuty konuşlandırması içinde yapılandırılmış durumda, yani bir saldırgan bunu keşfetseydi, tüm dünyadaki eski ve yeni EA çalışanlarına ait tüm kullanıcıların listesini alabilirdi" dedi. Ele geçirilebilecek diğer şeyler arasında EA'nın Slack çalışma alanındaki tüm kanalların tam bir listesi ve üzerinde çalışılan proje başlıkları, dokümanlar, URL içeren kanal açıklamaları olduğunu da eklersek sanıyoruz bunun bir şirket için ne kadar kötü bir durum olabileceğini anlatmaya yardımcı olur.
Araştırmacı Hussein, spiderSilk'in konuyu 19 Kasım 2019'da 1000 kanallık bir örnek listeyle birlikte EA'ya bildirdiğini ve EA'nın 21 Aralık'ta tüm sorunları çözdüğünü söyleyerek yanıt verdiğini de sözlerine ekledi.
Electronic Arts'ın açıklaması gecikmedi
EA şirketinin İletişim Başkan Yardımcısı John Reseburg ise, "Raporun ardından sorunun hızlı bir şekilde çözüldüğünü doğrulayabilirim. Araştırma şirketinin bu konudaki bulgularını takdir ediyoruz. Böyle şirketlerden gelen veriler, oyuncularımız, oyunlarımız ve şirketimiz için güvenlik önlemlerini sürekli olarak test etmenin ve iyileştirmenin önemli bir parçası" sözleriyle olayı doğrular bi açıklamada bulundu.
Video oyunu şirketleri, hazırladıkları pazarlama stratejilerinden önce sızan oyunlarının ayrıntıları hakkında çok endişe duyuyor ve genellikle bunları kendi içlerinde tartışmak için çeşitli takma adlar kullanıyor. Bilgisayar korsanları Slack kanallarının bir listesine sahip olsa bile, oyun isimlerini anlamamaları mümkün olabilirdi ancak yine de tedbiri elden bırakmamakta fayda var.
