FIFA Ultimate Team na celowniku hakerów; streamerzy stracili fortunę
Co jest potrzebne, by wyczyścić konto czołowego handlarza kartami FIFA Ultimate Team? Sądząc po ostatnich włamaniach, najwyraźniej wystarczy tag gracza.
- najwięksi kolekcjonerzy kart FIFA Ultimate Team w grze FIFA 22 stali się celem ataku hakerów;
- złodzieje mieli uzyskać dostęp tylko za pomocą tagów graczy i wyczyścili konta z kart oraz punktów FIFA;
- firma Electronic Arts zapewniła, że rozpoczęła śledztwo w tej sprawie, ale poszkodowani są oburzeni tym, jak łatwo włamano się na ich konta.
Dla Electronic Arts tryby Ultimate Team w grach sportowych to istna żyła złota, a choć formalnie kartami z wirtualnych paczek nie można handlować (i wcale a wcale nie mają one nic wspólnego z hazardem), w praktyce kolekcje co rzadszych okazów są warte spore pieniądze. Najwyraźniej skusiło to hakerów, którzy w ostatnim czasie przejęli i wyczyścili konta wielu streamerów oraz handlarzy FIFA Ultimate Team.
Na celowniku złodziei znaleźli się m.in. FUT Donkey, JoaoSeleiro, Bateson87, FutGameBreakerZ, CP7, FG oraz NoahHD. Stracone kolekcje tylko tych siedmiorga graczy zostały wycenione przez internautę BaggedFut na prawie 100 tysięcy dolarów. Oczywiście nie wszyscy poszkodowani dysponowali takim wirtualnym „majątkiem”, ale niewykluczone, że łącznie hakerzy mogli wyczyścić konta z kart o wartości kilkuset tysięcy dol.
Może Cię zainteresować:
Jeśli Waszym pierwszym podejrzeniem co do przyczyny incydentów było włamanie na serwery Electronic Arts, najpewniej musimy Was rozczarować. Wszystko wskazuje na to, że hakerzy skorzystali z… niekompetencji pracowników EA Help. Jak twierdzi m.in. FUT Donkey (dotychczas „najbogatszy” kolekcjoner FUT w FIF-ie 22), złodzieje po prostu odszukali tagi graczy lub PlayStation Network i skontaktowali się z działem pomocy w związku z rzekomo utraconym dostępem do konta.
W teorii nie powinno to wystarczyć do przejęcia konta, nawet jeśli haker wysyła całe mnóstwo próśb do działu pomocy (o czym świadczy gromada powiadomień od EA Help w skrzynce e-mail FUT Donkeya, które pojawiły się przed udanym włamaniem). Zwłaszcza gdy jest włączona dwuetapowa weryfikacja logowania i właściciel konta dwukrotnie prosił, by dodano informację, że jest na celowniku hakerów, i by EA nie zmieniało żadnych danych. Jednak najwyraźniej prędzej czy później ktoś trafił na pracownika nieprzywiązującego wagi do protokołów.
W ten sposób włamywacz otrzymywał dostęp do konta (a w niektórych przypadkach także „stary” adres e-mail) i mógł wyczyścić je z wirtualnych kart i waluty. Jednak nie to jest najgorsze. Na koncie znajdowały się bowiem prywatne dane użytkowników, „dzięki” czemu FUT Donkey wkrótce otrzymał informacje o logowaniach ze swojego e-maila na różne strony, od IMDb po „różowe” serwisy.
Nietrudno zgadnąć, że FUT Donkey i reszta poszkodowanych są, delikatnie rzecz ujmując, wściekli na niedyskrecję Electronic Arts. Ten pierwszy zastanawia się nawet, czy incydent to efekt nie tyle niekompetencji, co świadomego wsparcia włamywacza przez kogoś zatrudnionego w EA Help. W końcu mieliśmy już przypadek, kiedy to pracownik firmy sprzedawał karty FUT za pieniądze, mimo oficjalnego potępiania tej praktyki przez wydawcę.
Inni podejrzewają, że hakerzy skorzystali raczej z danych wykradzionych z serwerów Electronic Arts w ostatnie wakacje. Są też tacy, według których ów proceder nie jest niczym nowym, bo podobne akcje miały zdarzać się już w poprzednich odsłonach serii FIFA.
Niezależnie od tego, jak przeprowadzono te kradzieże, społeczność związana z FUT-em nie jest zachwycona brakiem komunikacji ze strony EA. Firma poinformowała (via Eurogamer) o rozpoczęciu śledztwa oraz odesłała graczy do strony informującej o tym, jak zabezpieczyć konto przed kradzieżą. To ostatnie poszkodowani uznali za rzekomy dowód na lekceważący stosunek Electronic Arts do sprawy.
Humoru streamerom nie poprawiają problemy z odzyskaniem dostępu do profilów. Wygląda bowiem na to, że EA – zgodnie ze starym schematem zachowań w takich sytuacjach – nagle zrobiło się bardzo czujne i nie oddaje kont nawet po podaniu numerów telefonu, dat urodzenia, odpowiedzi na zapytania bezpieczeństwa etc. Mimo że wcześniej nie potrzebowało żadnych „kluczy” do przekazania kontroli, co dosadnie podsumował bateson87 na Twitterze:
To tak, jakbym zostawił wszystkie moje narzędzia pracy w furgonetce, by móc w niej pracować. Tylko po to, by producent tejże tak po prostu oddał kluczyki losowej osobie bez poinformowania mnie o tym.
Dlatego też ruszyła petycja w serwisie Change.org, by Electronic Arts na poważnie zbadało sprawę włamań i wprowadziło zmiany w obsłudze klienta. Na razie podpisało ją prawie 3 tysiące osób, ale liczba ta szybko rośnie. Inni, w tym FUT Donkey, zamierzają wejść na drogę sądową.