Исследователи компании Check Point Software Technologies сообщили об уязвимостях, которые могли затронуть любого игрока популярной онлайн-игры Fortnite.

Fortnite насчитывает около 80 млн игроков по всему миру: игра популярна на всех игровых платформах, включая Android, iOS, ПК через Microsoft Windows и консоли, такие как Xbox One и PlayStation 4. Помимо рядовых игроков, Fortnite популярна среди профессиональных геймеров, чьи стримы собирают большую аудиторию.

Найденная уязвимость позволяла получить полный доступ к учетной записи пользователя и его личной информации, а также покупать виртуальную внутреннюю валюту игры, используя данные платежной карты жертвы. Также уязвимость могла бы привести к массовому вторжению в личную жизнь, поскольку злоумышленники могли бы прослушивать разговоры игроков, а также окружающие их звуки, например, в доме жертв. Игроки Fortnite ранее уже подвергались кибермошенничеству: фейковые сайты обещали генерировать внутреннюю валюту Fortnite – V-Buck. Новая уязвимость могла быть использована для манипуляций без передачи игроком каких-либо регистрационных данных.

Исследователи Check Point описали процесс, в котором злоумышленник мог потенциально получить доступ к учетной записи пользователя через уязвимости, обнаруженные в процессе входа в систему Fortnite. Из-за трех уязвимостей, обнаруженных в веб-инфраструктуре Epic Games, исследователи смогли продемонстрировать процесс аутентификации на основе маркера, используемый в сочетании с системами единого входа (SSO), такими как Facebook, Google и Xbox, для кражи учетных данных пользователя и его аккаунта.

Чтобы попасться на удочку этой атаки, игроку нужно всего лишь нажать на специально созданную фишинговую ссылку – якобы с домена Epic Games. Далее хакер получает маркер аутентификации пользователя Fortnite без ввода пользователем каких-либо учетных данных. По словам исследователей Check Point, угроза возникла из-за уявимостей, обнаруженных в двух поддоменах Epic Games, которые были подвержены вредоносной переадресации, что позволяло хакеру перехватывать подлинные маркеры аутентификации пользователей из скомпрометированного поддомена.

Компания Check Point уведомила Epic Games об уязвимости, которая теперь исправлена. Check Point и Epic Games советуют всем пользователям сохранять бдительность при обмене информацией в цифровом виде и остерегаться ссылок на игровых форумах и веб-сайтах.

Дополнительную информацию о компании и ее решениях вы можете найти на специальной странице http://ko.com.ua/check_point

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365