La companyia de ciberseguretat Check Point ha descobert tres noves vulnerabilitats en el registre de comptes del videojoc Fortnite que han deixat exposades les dades personals i de targetes de crèdit dels jugadors.
A través d'aquestes vulnerabilitats, els ciberatacantes podien fer-se amb el control dels comptes d'usuaris de Fortnite, amb la possibilitat de fer compres d'objectes del joc amb la moneda virtual V-Buck ('Pavos'), com ha alertat Check Point a través d'un comunicat.
Aquest problema també afecta la privacitat, ja que el ciberdelinqüent podria escoltar les converses dins de Fortnite accedint al so gravat pel micròfon dels usuaris durant el joc, així com a la informació personal emmagatzemada en els comptes.
Aquestes noves vulnerabilitats podrien haver estat explotades sense que el jugador introdueixi cap dada d'accés. Per a això, s'aprofita la infraestructura web d'Epic Games i el sistema d'autenticació basat en 'tokens'.
Els mecanismes del web del videojoc, juntament amb els sistemes d'accés unificat Single Sign-On (SSO) com Facebook, Google i Xbox, han pogut utilitzar-se per robar les credencials d'accés de l'usuari i fer-se amb el compte de la víctima si aquesta fa clic a un enllaç de 'phishing', segons Check Point.
Una vegada que es fa clic, el 'token' d'autenticació de Fortnite de l'usuari pot ser capturat sense que l'usuari hagi d'introduir cap credencial. La vulnerabilitat es va originar pels defectes trobats en dos dels subdominis d'Epic Games que eren susceptibles a una redirecció maliciosa.
La companyia de ciberseguretat ha informat a Epic Games, la desenvolupadora de Fortnite, sobre les vulnerabilitats del seu videojoc, que suma prop de 80 milions de jugadors a nivell global. En l'actualitat, el problema ja s'ha solucionat, segons Check Point.
