Defectos en Fortnite permitieron que los hackers se apoderaran de las cuentas de los jugadores

0

Los investigadores de Check Point han descubierto múltiples vulnerabilidades de seguridad en Fortnite, un juego de batalla en línea muy popular, uno de los cuales podría haber permitido a los atacantes remotos tomar las cuentas de los jugadores por completo simplemente engañando a los usuarios para que hagan clic en un enlace insospechado.
Las fallas informadas de Fortnite incluyen una inyección de SQL, un error de secuencias de comandos entre sitios (XSS), un problema de omisión de firewall de la aplicación web y, lo más importante, una vulnerabilidad de OAuth en la toma de control de la cuenta.
La adquisición completa de la cuenta podría ser una pesadilla, especialmente para los jugadores de un juego en línea tan popular que han jugado 80 millones de usuarios en todo el mundo, y cuando una buena cuenta Fortnite se ha vendido en eBay por más de $ 50,000.
El juego Fortnite permite a sus jugadores iniciar sesión en sus cuentas utilizando proveedores de inicio de sesión único (SSO) de terceros, como las cuentas de Facebook, Google, Xbox y PlayStation.

 
Según los investigadores, la combinación de fallas de secuencias de comandos entre sitios (XSS) y un problema de redireccionamiento malintencionado en los subdominios de Epic Games permitieron a los atacantes robar el token de autenticación de los usuarios simplemente engañándolos para que hagan clic en un enlace web especialmente diseñado.
Una vez comprometido, un atacante puede acceder a la información personal de los jugadores, comprar monedas virtuales en el juego y comprar equipos de juego que luego serían transferidos a una cuenta separada controlada por el atacante y revendida.

“Los usuarios podrían ver grandes compras de moneda en el juego en sus tarjetas de crédito con el atacante canalizando esa moneda virtual para que se venda por dinero en el mundo real”, explican los investigadores de Check Point en su blog publicado hoy.
“Después de todo, como se mencionó anteriormente, ya hemos visto estafas similares operando en la parte posterior de la popularidad de Fortnite“.

El atacante incluso podría tener acceso a todos los contactos y conversaciones en el juego de la víctima mantenidos por el jugador y sus amigos durante el juego, que luego pueden ser objeto de abuso para explotar la privacidad del propietario de la cuenta.
Epic Games contenía una vulnerabilidad de inyección de SQL que de ser explotada, podría haber permitido a los atacantes identificar qué versión de la base de datos MySQL se estaba utilizando.

Además de esto, los investigadores también pudieron omitir el sistema de firewall de aplicaciones web BIG-IP Application Security Manager (ASM) utilizado por la infraestructura Fortnite para ejecutar con éxito el ataque de scripts entre sitios contra el proceso de inicio de sesión del usuario.
Los investigadores de Check Point notificaron al desarrollador de Epic Games las vulnerabilidades de Fortnite que la compañía reparó a mediados de diciembre.
Tanto Check Point como Epic Games recomiendan a todos los usuarios de Fortnite que permanezcan atentos mientras intercambian información digitalmente y cuestionan la legitimidad de los enlaces a la información disponible en el Foro de usuarios y otros sitios web de Fortnite.
Para evitar que sus cuentas sean secuestradas, también se recomienda a los jugadores que habiliten la autenticación de dos factores (2FA), lo que les pide a los usuarios que ingresen un código de seguridad enviado a su correo electrónico al iniciar sesión en el juego Fortnite.

Fuente

Your email address will not be published. Required fields are marked *