Electronic Arts (EA) a confirmé que plus de 50 comptes de haut niveau de joueurs de la FIFA ont été piratés au cours des dernières semaines.
EA a confirmé dans un communiqué officiel que les comptes ont été piratés à l'aide de techniques de phishing. Les pirates ont utilisé des méthodes de phishing et d'ingénierie sociale pour inciter l'équipe de support client d'EA à les aider à contourner l'authentification à deux facteurs. Selon EA :
"Les individus agissant de manière malveillante ont pu exploiter l'erreur humaine au sein de notre équipe d'expérience client et contourner l'authentification à deux facteurs pour accéder aux comptes des joueurs."
Les personnes concernées se sont également rendues sur Twitter et sur les réseaux sociaux pour souligner le problème des prises de contrôle des comptes de la FIFA. Alors qu'EA affirme que seuls 50 comptes sont concernés, Eurogamer, qui a initialement annoncé la nouvelle, affirme qu'environ 100 comptes FIFA ont été ciblés. Il est important de noter que les joueurs professionnels sur FIFA gagnent beaucoup d'argent grâce à ces comptes de gameplay.
L'un des plus grands joueurs de la FIFA, Fut Donkey (meilleur trader FUT sur PlayStation), a déclaré que son compte avait été transmis à une personne au hasard via le chat en direct, ce qui constitue une violation flagrante des lois sur la protection des données.
FUT Donkey sur Twitter a déclaré qu'après avoir reçu plusieurs e-mails de l'équipe d'expérience client d'EA concernant les changements de compte, il a contacté le support de chat en direct à plusieurs reprises et leur a dit de ne modifier aucun détail de son compte car il n'en avait pas fait la demande. Même alors, l'équipe EA a modifié les informations de compte, aidant les pirates à contourner facilement l'authentification à deux facteurs, ce qui a conduit à la prise de contrôle du compte.
Il a également partagé une capture d'écran des e-mails reçus par l'équipe de support client d'EA qui montre que les cybercriminels ont pu spammer le chat en direct pour modifier les détails du compte.
Le footballeur français Valentin Rosier a également déclaré sur Twitter que son compte FIFA avait également été piraté, entraînant une perte de plus de 60 millions de crédits. Les acteurs concernés disent que s'ils ne récupèrent pas l'intégralité de leurs actifs, ils vont intenter une action en justice car l'incident constitue une violation manifeste des lois sur la protection des données en Europe.
Selon EA, l'enquête initiale révèle que 50 comptes ont été compromis et qu'ils travaillent actuellement pour restaurer l'accès à ces comptes et les joueurs concernés seront contactés par l'équipe EA.
EA a également déclaré que toutes ses personnes qui aident avec les comptes seront recyclées et que la société mettra également en œuvre des mesures de sécurité supplémentaires dans le processus de vérification des comptes. Ils prévoient de mettre à jour le processus de support client pour identifier les escroqueries ou les activités suspectes et minimiser les erreurs humaines potentielles.
Jake Williams, le co-fondateur de BreachQuest, affirme que lorsqu'il s'agit d'ingénierie sociale sur le personnel de support, il est très difficile d'éliminer les risques car, naturellement, le support client est là pour aider les utilisateurs qui ont des difficultés à accéder à leurs comptes. " Malheureusement, les escrocs peuvent également amasser des informations imparfaites sur le compte de leur victime ", a déclaré Williams.
Pour éviter cela, toutes les opérations liées aux comptes de haut niveau doivent être examinées par plusieurs personnes avant de prendre la décision finale.
La communauté FIFA a été très contrariée par cet incident de prise de contrôle de compte car il montre un manque de sécurité chez EA. Pour l'instant, EA a publié des conseils officiels sur la sécurité des comptes, y compris 2FA.