EA é invadida por hackers: contas do FIFA Ultimate Team são comprometidas

A Electronic Arts confirmou os relatos de que várias contas do game “FIFA Ultimate Team” foram invadidas por hackers capazes de “explorar um erro humano na equipe de experiência do cliente”, contornando o processo de autenticação de dois fatores.

Em uma nota oficial, divulgada em seu site na última terça-feira (11), a companhia pediu desculpas pelos comprometimentos dos dados e afirmou que, por meio da investigação promovida, é possível afirmar que algumas contas foram comprometidas por meio de técnicas de phishing.

“Neste momento, estimamos que menos de 50 contas foram assumidas usando esse método. No momento, estamos trabalhando para identificar os proprietários legítimos das contas para restaurar o acesso ao seu conteúdo, e os jogadores afetados devem esperar uma resposta de nossa equipe em breve. Nossa investigação está em andamento, pois examinamos minuciosamente todas as reivindicações de uma solicitação de alteração de e-mail suspeita e relatório de uma conta comprometida”.

Nota oficial da EA

No dia 6 de janeiro de 2022, diversos jogadores do FIFA Ultimate Team relataram ter sido alvo de hackers que limparam suas contas de FIFA Points e libras, em forma de moeda do jogo. Em alguns casos, o acesso à conta foi perdido.

Algumas das contas atacadas pertencem a streamers profissionais e jogadores reais, como Valentin Rosier, que joga futebol no Beşiktaş, da Turquia.

Como aconteceu o ataque de phishing?

FIFA Ultimate Team é um jogo de futebol que permite ao usuário criar times virtuais de jogadores profissionais da vida real, para competir com outras equipes online. 

Os usuários podem investir dinheiro no jogo ao acumular moedas e pontos. Isso também pode ser feito trocando jogadores e construindo várias equipes dentro do game.

O que a EA finalmente descobriu foi um cenário descrito pelos próprios jogadores. Eles compartilharam capturas de tela de atividades estranhas da conta, como invasores entrando em contato com a equipe de clientes da EA por meio do recurso de bate-papo ao vivo, exigindo a alteração do endereço de e-mail de determinadas contas.

Embora a equipe tenha ignorado muitas dessas solicitações, o “erro humano” da EA se refere ao fato de que pelo menos uma parte do time de suporte ao cliente acabou cedendo às demandas persistentes dos invasores, e mudou o endereço de e-mail titular da conta. Isso fez com que o funcionário ignorasse os procedimentos de segurança que exigem verificação adicional dos proprietários da conta, de acordo com um usuário e trader do Ultimate Team chamado “FUT Donkey”, ao relatar como sua conta foi hackeada.

“As pessoas enviam spam no chat ao vivo pedindo para alterar os detalhes da minha conta até que algum consultor incompetente finalmente concedeu o acesso a elas”, diz o seu relato em uma rede social, junto a um print do e-mail que comprova a requisição da mudança.

É possível se proteger?

O ataque à EA reforça que, embora existam protocolos de segurança individuais para garantir a segurança de dados em um ataque de phishing, um descuido de uma empresa gestora desses dados já é suficiente para comprometer a privacidade (e o dinheiro) de muitas pessoas.

Segundo Marco DeMello, CEO da PSafe, as motivações para este tipo de ataque são, principalmente, financeiras. “Hoje em dia, os ataques cibernéticos (os ransomwares, as invasões…) pertencem, em sua grande maioria, a grupos de cibercrime organizados. Eles contratam grupos especializados ou usam ferramentas que trabalham para eles mesmos, não é mais uma pessoa.” explica.

Quando os invasores usam artifícios da engenharia social contra a equipe de suporte, fica ainda mais difícil eliminar o risco de comprometimento da conta. Ainda segundo Marco,  “existe como você se proteger desse tipo de ataque: o segredo é ter uma solução tão capacitada quanto o atacante”.

Ferramentas de cibersegurança baseadas em Inteligência Artificial são extremamente eficazes neste contexto, pois conseguem usar recursos de identificação e bloqueio de ameaças antes mesmo que causem danos aos dispositivos do usuário. 

Haverá reparação por parte da EA?

Em resposta ao incidente, a desenvolvedora exigirá que “assessores da EA e indivíduos que auxiliam seu serviço de contas” recebam treinamento individual e adicional da equipe “especificamente focado em práticas de segurança e técnicas de phishing”.

A EA também adicionará etapas ao processo de verificação de propriedade da conta do FIFA Ultimate Team, “como aprovação gerencial obrigatória para todas as solicitações de alteração de e-mail”, declarou a empresa. 

A empresa também revelou que pretende atualizar seu software de experiência do cliente para identificar e sinalizar atividades suspeitas, limitando ainda mais “o potencial de erro humano no processo de atualização da conta”, de acordo com sua declaração online.

Este incidente deve servir como uma advertência para a importância da cibersegurança para outras plataformas de jogos. Assim como os principais traders disputam títulos e moedas dentro do jogo, os hackers que visam atacar essas plataformas também não deixarão de mostrar suas habilidades.