Hackeři napadli účty hráčů střílečky Fortnite
Check Point Software zveřejnil informace o zranitelnostech, které mohli hackeři zneužít k útoku na jakéhokoli hráče populární hry Fortnite. Tento battle-royale titul má téměř 80 milionů hráčů po celém světě a je populární na všech herních platformách, včetně Androidu, iOS, PC a konzolí, jako jsou Xbox One a PlayStation 4.
„Pokud by zranitelnost byla zneužita, útočníci by získali plný přístup k uživatelskému účtu, osobním informacím a zároveň by mohli nakupovat virtuální herní měnu pomocí platební karty oběti. Zranitelnost by kyberzločincům také mohla umožnit masivní invazi do soukromí a odposlouchávat kromě chatu ve hře i rozhovory a zvuky přímo ve fyzickém okolí hráče,“ varuje Check Point.
Hráči Fortnite byli už dříve terčem různých podvodů, které se je snažily přimět k přihlášení na falešných webových stránkách a slibovaly odměnu v podobě herní měny V-Buck. Nicméně nově objevené zranitelnosti umožňují hackerům ukrást účet, aniž by hráč musel zadávat své přihlašovací údaje.
Výzkumníci odhalili proces, při němž mohli útočníci potenciálně získat přístup k účtu uživatele prostřednictvím zranitelností objevených v přihlašovacích procesech Fortnite. Tři zranitelnosti objevené ve webové infrastruktuře Epic Games umožňovaly v rámci autentizačního procesu v kombinaci se systémy jednotného přihlášení (Single Sign-On, SSO), jako jsou Facebook, Google a Xbox, ukrást uživatelské přihlašovací údaje a převzít kontrolu and účtem.
Aby se hráč stal obětí tohoto útoku, stačilo jen kliknout na speciálně vytvořený phishingový odkaz, který ovšem přišel z domény Epic Games, takže vše vypadalo legitimně, i když odkaz poslal útočník. Jakmile hráč na odkaz klikl, autentizační token uživatele mohl být zachycen útočníkem, aniž by uživatel musel zadávat přihlašovací údaje. Podle výzkumníků společnosti Check Point potenciální zranitelnosti pochází z chyb ve dvou subdoménách Epic Games, které bylo možné zneužít k přesměrování a zachycení autentizačních tokenů.
„Fortnite je jedna z nejpopulárnějších her, kterou hrají hlavně děti a tyto zranitelnosti mohly umožnit masivní narušení soukromí,“ říká Daniel Šafář, Country Manager CZR regionu ve společnosti Check Point. „Nedávno jsme odhalili zranitelnosti v platformách populárních dronů DJI a znovu se tak ukazuje, jak citlivé jsou z pohledu kyberbezpečnosti cloudové aplikace. Tyto platformy jsou stále častěji terčem hackerů, protože obsahují obrovské množství citlivých dat. Rizika, spojená s podobnými krádežemi účtů, může v podobných případech zmírnit například dvoufaktorová autentizace.“
Check Point o zranitelnostech informoval společnost Epic Games, která chyby opravila. Check Point a Epic Games doporučují všem uživatelům, aby byli ostražití při digitální výměně informací a dodržovali v online světě bezpečné postupy. Uživatelé by také měli opatrně přistupovat k odkazům sdíleným na různých uživatelských fórech a webových stránkách.
Zdroj: Check Point
