Fallo en sitio de Epic Games permitió a atacantes acceder a cuentas de Fortnite

El error permitió a los atacantes ingresar a las cuentas de los usuarios de Fortnite y así tener acceso no solo a los datos de sus tarjetas de crédito, sino también a sus conversaciones.

Una serie de vulnerabilidades descubiertas en el sitio de Epic Games permitían que los atacantes pudieran redirigir el tráfico de la página de acceso principal del sitio (accounts.epicgames.com) hacia una página de destino elegida. En esta redirección, un atacante que hubiera logrado aprovechar el error podría haber podido redirigir los tokens de acceso de los servidores de Epic Games, haciendo posible acceder a las cuentas sin necesidad de contraseñas. Esto es posible porque el sitio utiliza una combinación de tokens de autenticación y una solución de inicio de sesión único, al igual que Facebook, Google, X-Box y otros servicios que se incluyen dentro del proceso de inicio de sesión para los usuarios de Fortnite.

Dado que el dominio de la página de acceso principal del sitio no había sido validado, era susceptible de una redirección maliciosa. De esta forma, un actor malintencionado podría haberse apoderado de cualquier cuenta de Fortnite, visualizar los datos de la tarjeta de crédito asociada a la cuenta e incluso escuchar las conversaciones que se dan dentro del juego.

Un atacante solo habría necesitado enviar un enlace malicioso para que la víctima hiciera clic en él. Si la víctima cae en la trampa y hace clic en el enlace, el atacante obtendrá inmediatamente el token de autenticación de Fortnite, que no necesitará que la víctima ingrese sus credenciales.

Las vulnerabilidades fueron descubiertas en noviembre por la firma CheckPoint y ya fueron resueltas. Por otro lado, podrían haberse visto afectados por este error, incluidos aquellos que usaron su cuenta de Facebook, Google, PlayStation, Nintento o X-Box en lugar del nombre de usuario y la contraseña de Epic Games.

Dada la popularidad de este juego que en 2018 llegó a cerca de 80 millones de jugadores, no es de extrañar que los ciberdelincuentes estén buscando fallas que puedan explotar. El año pasado vimos diferentes tipos de casos donde actores maliciosos intentaron sacar ventaja, por ejemplo, Epic Games decidió no ofrecer el juego a través de Google Play para ofrecer versiones fraudulentas del juego en tiendas de terceros.

Usted también podría estar interesado en:

Trampas en Fortnite: cuidados que debes tener en cuenta para disfrutar el juego de forma segura
Descubren vulnerabilidad crítica en el instalador de Fortnite para Android
El malware infectó a miles de jugadores de Fortnite para distribuir publicidad fraudulenta

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!