Společnost Check Point zveřejnila informace o zranitelnostech, které mohli hackeři zneužít k útoku na jakéhokoli hráče populární hry Fortnite. Hra Fortnite, kterou vyvíjí a provozuje společnost Epic Games, má téměř 80 milionů hráčů po celém světě a je populární na všech herních platformách. Pokud by zranitelnost byla zneužita, útočníci by získali plný přístup k uživatelskému účtu, osobním informacím a zároveň by mohli nakupovat virtuální herní měnu pomocí platební karty oběti.
Zranitelnost by kyberzločincům také mohla umožnit masivní invazi do soukromí a odposlouchávat kromě chatu ve hře i rozhovory a zvuky přímo ve fyzickém okolí hráče. Hráči Fortnite byli už dříve terčem různých podvodů, které se je snažily přimět k přihlášení na falešných webových stránkách a slibovaly odměnu v podobě herní měny V-Buck. Nicméně nově objevené zranitelnosti umožňují hackerům ukrást účet, aniž by hráč musel zadávat své přihlašovací údaje.
Výzkumníci odhalili proces, při němž mohli útočníci potenciálně získat přístup k účtu uživatele prostřednictvím zranitelností objevených v přihlašovacích procesech Fortnite. Tři zranitelnosti objevené ve webové infrastruktuře Epic Games umožňovaly v rámci autentizačního procesu v kombinaci se systémy jednotného přihlášení (Single Sign-On, SSO), jako jsou Facebook, Google a Xbox, ukrást uživatelské přihlašovací údaje a převzít kontrolu and účtem.
Aby se hráč stal obětí tohoto útoku, stačilo jen kliknout na speciálně vytvořený phishingový odkaz, který ovšem přišel z domény Epic Games, takže vše vypadalo legitimně, i když odkaz poslal útočník. Jakmile hráč na odkaz klikl, autentizační token uživatele mohl být zachycen útočníkem, aniž by uživatel musel zadávat přihlašovací údaje. Podle výzkumníků společnosti Check Point potenciální zranitelnosti pochází z chyb ve dvou subdoménách Epic Games, které bylo možné zneužít k přesměrování a zachycení autentizačních tokenů.
Check Point o zranitelnostech informoval společnost Epic Games, která již chyby opravila. Check Point a Epic Games doporučují všem uživatelům, aby byli ostražití při digitální výměně informací a dodržovali v online světě bezpečné postupy. Uživatelé by také měli opatrně přistupovat k odkazům sdíleným na různých uživatelských fórech a webových stránkách.
Aby se minimalizovala hrozba útoku zneužívajícího zranitelnosti, uživatelé by měli používat dvoufaktorovou autentizaci a zajistit, že při přihlášení k účtu z nového zařízení bude vyžadován bezpečnostní kód zaslaný na e-mailovou adresu hráče. Je také důležité, aby rodiče varovali děti před online hrozbami, protože kyberzločinci udělají cokoli, aby získali přístup k osobním a finančním údajům, které mohou být součástí právě i herního online účtu.