Accounts van het gamingplatform Origin waren te kapen via een subdomein van EA Games, zo ontdekten onderzoekers van securitybedrijf Check Point en CyberInt. Om de aanval uit te voeren volstond het om een ingelogde Origin-gebruiker een kwaadaardig subdomein van EA.com te laten bezoeken.

Er was geen verdere interactie vereist. Origin is het gamingplatform van EA Games dat allerlei games aanbiedt. Gebruikers kunnen vanuit hun account allerlei aankopen doen. De aanval van de onderzoekers maakte misbruik van authenticatietokens in combinatie met oAuth Single Sign-On (SSO) en het vertrouwensmechanisme dat in het inlogproces van Origin is ingebouwd.

EA Games maakt gebruik van Microsoft Azure om domeinen te hosten, zoals ea.com en origin.com. Het bedrijf maakt voor verschillende diensten gebruik van aparte subdomeinen. Zo wees het subdomein eaplayinvite.ea.com naar ea-invite-reg.azurewebsites.net, wat de gewenste dienst in de achtergrond draait. In dit geval een webserver. De onderzoekers ontdekten dat ea-invite-reg.azurewebsites.net niet meer in gebruik was, maar dat eaplayinvite.ea.com hier nog steeds naar wees.

Ze registreerden ea-invite-reg.azurewebsites.net, waardoor ze hun code op eaplayinvite.ea.com konden laten uitvoeren. Tussen ea.com en origin.com blijkt een vertrouwensmechanisme te zijn. Door een kwaadaardig iframe op eaplayinvite.ea.com te plaatsen konden de onderzoekers authenticatietokens van gebruikers spelen, waarmee er vervolgens op hun Origin-account kon worden ingelogd. De enige voorwaarde was wel dat gebruikers naar het subdomein werden gelokt. Na te zijn ingelicht door de onderzoekers kwam EA Games met een oplossing.