Con un solo clic, qualsiasi hacker semi-esperto avrebbe potuto assumere silenziosamente un account Fortnite. Questo secondo una società di sicurezza informatica che, tuttavia, afferma che il bug è stato corretto.
I ricercatori di Check Point affermano che le tre vulnerabilità concatenate potrebbero aver colpito i 200 milioni di giocatori di Fortnite. I difetti, se sfruttati, avrebbero permesso di rubare il set di token, per l’accesso all’account sul dispositivo del giocatore, una volta che questi hanno inserito la loro password.
La vulnerabilità di Fortnite è stata risolta
Una volta rubato, quel token poteva essere usato per impersonare il giocatore e accedere al suo account. Gli hacker non avevano bisogno della password dell’account della vittima. I ricercatori dicono che la vulnerabilità risiedeva nel modo in cui Epic Games, il produttore di Fortnite, gestisce le richieste di accesso.
I ricercatori hanno anche spiegato come l’hacker rubava l’account. Prima di tutto, veniva inviato un link alla vittima che era simile a quello proveniente dal dominio di Epig Games. Se l’utente cliccava sul link, automaticamente veniva inviato il proprio token all’hacker. A questo punto, il token permetteva l’accesso all’account della vittima.
Oded Vanunu, capo della ricerca sulla vulnerabilità di Check Point, ha affermato che è importante ricordare che l’URL proviene da un dominio di Epic Games, quindi è trasparente per l’utente e non c’è nessun filtro di sicurezza.
L’hacker incorpora un collegamento a un codice dannoso sul proprio server sfruttando una debolezza tra i siti nel sottodominio. Una volta caricato, lo script dannoso ruba il token dell’account del giocatore e lo rimanda all’hacker. Se l’utente della vittima non è connesso al gioco, dovrà prima effettuare il login.
La vulnerabilità è stata presto risolta e Epic Games ha consigliato agli utenti di rafforzare le loro password e di non condividerle con altri.
