Ricercatori informatici di Check Point hanno scoperto diverse vulnerabilità di sicurezza in Fortnite, il celebre gioco di battaglia online. Un particolare bug di Fortnite, avrebbe consentito agli hacker di prendere il controllo delle utenze dei giocatori semplicemente inducendo gli utenti a fare clic su un link apparentemente non sospetto.
Le vulnerabilità scovate di Fortnite si riferiscono a una SQL injection, un bug di cross-site scripting (XSS), un problema di bypass del firewall dell’applicazione web e, soprattutto, una criticità nell’acquisizione dell’account OAuth.
Il valore di Fortnite
L’acquisizione completa dell’account potrebbe rivelarsi un vero e proprio incubo, specialmente per i giocatori di un gioco online così popolare, con una comunità da oltre 80 milioni di utenti in tutto il mondo, in un momento in cui un account Fortnite è stato venduto su eBay per un valore di oltre $ 50.000.
Fortnite consente ai suoi giocatori di accedere al proprio account utilizzando provider Single Sign-On (SSO) di terze parti, come account Facebook, Google, Xbox e PlayStation.
Ti sta piacendo l’articolo? Iscriviti alla newsletter di Noi Sicurezza per ricevere altri consigli interessanti sulla sicurezza! (promettiamo di non essere troppo invadenti 😉 Buona continuazione di lettura!
[wysija_form id=”1″]
La vulnerabilità e il meccanismo di furto
Secondo i ricercatori, la combinazione della vulnerabilità di cross-site scripting (XSS) e un problema di reindirizzamento malevolo sui sottodomini di Epic Games ha permesso agli aggressori di rubare il token di autenticazione degli utenti, semplicemente inducendoli a fare clic su un collegamento Web falso, appositamente predisposto.
Una volta compromesso l’account, un utente malintenzionato può quindi accedere alle informazioni personali dei giocatori, acquistare valute virtuali di gioco e attrezzature di gioco che verranno poi trasferite su un account separato, controllato dall’hacker e rivenduto.
“Gli utenti potrebbero visualizzare, loro malgrado, enormi acquisti di valuta in-game effettuati sulle loro carte di credito con l’attaccante che sta incanalando la valuta virtuale da vendere utilizzando denaro nel mondo reale“, spiegano i ricercatori di Check Point nel loro post pubblicato.
“Dopotutto, abbiamo già visto truffe simili che operano sfruttando la popolarità di Fortnite“.
L’hacker potrebbe anche avere accesso a tutti i contatti e le conversazioni in-game della vittima detenuti dal giocatore e dai suoi amici durante il gioco, che possono essere sfruttati per violare la privacy del proprietario dell’account.
Gli altri problemi di sicurezza di Fortnite
Il gioco edito da Epic Games conteneva la già citata vulnerabilità di SQL injection che, se sfruttata, avrebbe consentito agli aggressori di identificare quale versione del database MySQL veniva utilizzata.
Oltre a ciò, i ricercatori sono stati anche in grado di bypassare il sistema di firewall per applicazioni web utilizzato dall’infrastruttura Fortnite per eseguire con successo l’attacco di scripting cross-site contro il processo di accesso dell’utente.
Bug risolti
I ricercatori di Check Point hanno comunicato allo sviluppatore di Epic Games le vulnerabilità di Fortnite, per le quali la società ha posto rimedio a metà dicembre.
Sia Check Point che Epic Games consigliano a tutti gli utenti di Fortnite di rimanere vigili durante lo scambio di informazioni digitali e di mettere in dubbio la legittimità dei collegamenti alle informazioni disponibili sul Forum degli utenti e su altri siti Web di Fortnite.
Per proteggere i loro account dal furto, i giocatori sono inoltre invitati ad abilitare l’autenticazione a due fattori (2FA) che richiede agli utenti di inserire un codice di sicurezza inviato alla loro posta elettronica al momento dell’accesso al gioco Fortnite.
Interessato a una consulenza in materia di Cyber Security? Contatta Noi Sicurezza:
CHIEDI INFORMAZIONI