Ieri alcuni cracker hanno preso il controllo di una parte del sito di Electronic Arts, la nota software house, e l’hanno utilizzato per lanciare una campagna di phishing mirata al furto di Apple ID.
La natura del sito, appartenente ad una grande azienda nota e “fidata”, ha aggravato la gravità della situazione. Nella notte i tecnici di EA hanno risolto il problema e il sito è stato ripulito, ma val la pena segnalare l’avvenimento per quegli utenti che vi fossero “cascati”.
I cracker avevano utilizzato il sito di EA per ospitare una landing page malevola che si presentava come una schermata di login nella quale gli utenti erano invitati ad inserire le proprie credenziali Apple assieme ad altri dati sensibili come data di nascita, numero di carta di credito ed altre informazioni utili per un vero e proprio furto di identità ai danni della vittima. Una volta inseriti i dati gli utenti venivano riportati alla pagina Apple per il collegamento con Apple ID, rendendo ancora più credibile l’intero passaggio
Per riuscire a modificare il sito di Electronic Arts i cracker hanno sfruttato una falla di sicurezza di una vecchia versione di WebCalendar mai aggiornata e quindi vulnerabile. Per fortuna i tecnici della compagnia sono stati rapidi nell’intervento, anche se la mancanza che ha reso possibile una simile violazione è di quelle che non ci si aspetterebbe da un’azienda digitale del livello di Electronic Arts.
E’ utile e scontato aggiungere che nel caso (improbabile, vista la velocità di risoluzione del problema) vi sia capito di inserire i vostri dati Apple sul sito di EA val la pena controllare che tutto sia apposto nel vostro account.
[via]