A equipa de investigadores da Check Point Software Technologies Ltd partilhou os detalhes sobre uma vulnerabilidade que podia afectar qualquer jogador de Fortnite.
Segundo a análise efectuada pela Check Point, a vulnerabilidade podia dar aos cibercriminosos o acesso às contas e informações pessoais dos jogadores, bem como permitir compras com a moeda virtual do jogo, fazendo uso das informações do cartão de crédito das vítimas.
Os jogadores de Fortnite já foram alvo de esquemas que tiveram como objectivo fazer com que estes fizessem login em websites falsos, que prometiam gerar a moeda de jogo, “V-Buck”.
Os investigadores da Check Point descreveram o procedimento através do qual o atacante poderia, eventualmente, conseguir o acesso à conta dos utilizadores, através da vulnerabilidade descoberta durante o processo de login dos mesmos.
Graças às falhas de segurança descobertas na infraestrutura Web da Epic Games, a equipa de investigação foi capaz de demonstrar como o processo de autenticação baseado em tokens, usado em conjunto com o sistema Single Sign-On (SSO) consegue roubar as credenciais de acesso dos utilizadores e apropriar-se das suas contas.
Para ser uma vítima deste ataque, o jogador apenas tem de clicar num link de phishing enviado pelo cibercriminoso, através do domínio da Epic Games, para que tudo pareça normal.
Uma vez feito o clique, o token de autenticação do Fortnite passa a poder ser capturado pelo atacante, sem que o utilizador tenha digitado nenhuma das suas credenciais.
A Check Point alertou a Epic Games desta vulnerabilidade, a qual já se encontra resolvida. A Check Point Software e a Epic Games aconselham todos os utilizadores a permanecerem atentos, sempre que existir troca de informação a nível digital, e que adoptem práticas de segurança, todas as vezes que se conectarem com outros utilizadores online.
Os utilizadores devem sempre questionar a legitimidade dos links disponibilizados nos websites e fóruns de utilizadores.
Via Check Point Software Technologies Ltd.
