Μια φραστική αδυναμία ασφαλείας ανακάλυψε η Check Point Research προς το τέλος του 2018. Η ευπάθεια επέτρεψε στους χάκερς να ξεκινήσουν εύκολα ένα σχέδιο ηλεκτρονικού "ψαρέματος" (phishing) αποστέλλοντας στους χρήστες συνδέσμους που μοιάζουν με σελίδες σύνδεσης, αλλά πραγματικά συνέλεψαν λογαριασμούς χρηστών.
Το CPR κοινοποίησε στους Epic Games το ελάττωμα τον Νοέμβριο και η Epic έβαλε τις εβδομάδες αργότερα. Ωστόσο, κατά τη διάρκεια αυτής της περιόδου - και για κάποιο χρονικό διάστημα προτού η CPR αποστείλει την ειδοποίηση - οι χρήστες Fortnite βρήκαν σοβαρό κίνδυνο απάτης.
Το CPR διευκρινίζει με ακρίβεια πώς λειτουργεί το εκμεταλλευόμενο σε μια πολύ τεχνική εξήγηση στο ιστολόγιό του. Ωστόσο, η ουσία της διαδικασίας ήταν αρκετά απλή:
- Οι χάκερ εκμεταλλεύονται το σύστημα μεμονωμένων συνδέσεων Fortnite, το οποίο επιτρέπει σε έναν χρήστη να συνδεθεί στο Fortnite χρησιμοποιώντας άλλους λογαριασμούς, όπως το Facebook, το Nintendo, το Google+ κ.λπ.
- Οι χάκερ στέλνουν έπειτα έναν σύνδεσμο σε έναν χρήστη που φαίνεται νόμιμος. Ωστόσο, τα ανακατευθύνει στην πραγματικότητα μέσω ενός διαφορετικού διακομιστή ο οποίος αποκρυπτογραφεί τις πληροφορίες σύνδεσής τους.
- Δεδομένου ότι ο σύνδεσμος φαινόταν νόμιμος και ο χρήστης δεν έπρεπε να εισάγει τα διαπιστευτήριά του, ο χρήστης πιστεύει ότι τίποτα δεν συνέβη.
- Οι χάκερ αποκτούν τις πληροφορίες σύνδεσης, ξεπερνούν τον λογαριασμό και χρησιμοποιούν τις συνημμένες επιλογές πληρωμής για να κάνουν δόλιες συναλλαγές.
Σύμφωνα μεΤο χείλος, οι χάκερ που χρησιμοποίησαν αυτό το εκμεταλλευόμενο θα αγόραζαν το νόμισμα του Fortnite στο παιχνίδι (V-Bucks) χρησιμοποιώντας τους κατακτημένους λογαριασμούς, δώροντας αυτά τα V-Bucks σε έναν άλλο λογαριασμό και έπειτα να πουλήσουν τα V-Bucks με μειωμένο επιτόκιο σε άλλους παίκτες στο σκοτεινό ιστό .
Η Fortnite κερδίζει δισεκατομμύρια δολάρια από πωλήσεις εντός παιχνιδιών, οπότε αυτή η δόλια δραστηριότητα μπορεί να είναι αρκετά προσοδοφόρα.
Epic Games δήλωσε σε μια δήλωση: «Μας έλαβαν γνώση των τρωτών σημείων και σύντομα απευθύνθηκαν. Ευχαριστούμε τον Check Point για την επισήμανσή του. Όπως πάντα, ενθαρρύνουμε τους παίκτες να προστατεύουν τους λογαριασμούς τους μη επαναχρησιμοποιώντας τους κωδικούς πρόσβασης και χρησιμοποιώντας ισχυρούς κωδικούς πρόσβασης και μην μοιράζοντας πληροφορίες λογαριασμού με άλλους. "
Παρόλο που αυτή η ευπάθεια είναι πλέον διορθωμένη, θα πρέπει να υπενθυμίσουμε σε όλους να χρησιμοποιήσουν ισχυρούς κωδικούς πρόσβασης, να τις αλλάξουν συχνά και να εισάγουν μόνο διαπιστευτήρια σε αξιόπιστους ιστότοπους.
