Fallo en sitio de Epic Games permitía que atacantes puedan acceder a cuentas de Fortnite

Fallo en sitio de Epic Games permitía que atacantes puedan acceder a cuentas de Fortnite

El bug permitía que atacantes puedan ingresar a las cuentas de usuarios de Fortnite y de esta manera tener acceso no solo a los datos de su tarjeta de crédito, sino a sus conversaciones.

El bug permitía que atacantes puedan ingresar a las cuentas de usuarios de Fortnite y de esta manera tener acceso no solo a los datos de su tarjeta de crédito, sino a sus conversaciones.

Una serie de vulnerabilidades descubiertas en el sitio de Epic Games permitían que atacantes puedan redirigir tráfico de la página de acceso principal del sitio (accounts.epicgames.com) hacia una página de destino elegida. En esta redirección, un atacante que hubiese logrado explotar el fallo podría haber sido capaz de redirigir los tokens de acceso de los servidores de Epic Games, logrando acceder a cuentas sin necesidad de contraseñas. Esto es posible ya que el sitio utiliza de manera conjunta tokens de autenticación y una solución de Single Sign-On, tal como lo hace Facebook, Google, X-Box y otros servicios que están incluidos dentro del proceso de login para usuarios de Fortnite.

Dado que el dominio de la página de acceso principal del sitio no había sido validado, era susceptible a una redirección maliciosa. De esta manera, un actor malintencionado podría haber tomado posesión de cualquier cuenta de Fortnite, ver los datos de la tarjeta de crédito asociada a la cuenta e incluso escuchar las conversaciones que se realizan dentro del juego.

Un atacante solo hubiera necesitado enviar un enlace malicioso para que la víctima haga clic en él. Si la víctima cae en el engaño y hace clic en el enlace, el token de autenticación para Fortnite sería obtenido de manera inmediata por el atacante, que no necesitaría que la víctima ingrese sus credenciales.

Las vulnerabilidades fueron descubiertas en noviembre por la firma CheckPoint y ya fueron resueltas. Por otra parte, podrían haber sido afectados por este fallo incluso quienes utilizaban para acceder al sitio sus cuentas de Facebook, Google, PlayStation, Nintento o X-Box en lugar del nombre de usuario y contraseña para Epic Games.

Dada la popularidad de este juego que en 2018 llegó a cerca de 80 millones de jugadores, no es de extrañarse que los cibercriminales estén buscando fallos que puedan explotar. El año pasado ya vimos distintos tipos de casos donde actores maliciosos intentaban aprovecharse, por ejemplo, de que Epic Games haya decidido no ofrecer el juego a través de Google Play para ofrecer en tiendas de terceras partes versiones fraudulentas del juego.

Te puede interesar también:

Trampas en Fortnite: cuidados que debes tener en cuenta para disfrutar el juego de forma segura
Descubren vulnerabilidad crítica en instalador de Fortnite para Android
Malware infectó a miles de jugadores de Fortnite para distribuir publicidad fraudulenta

Discusión