Pesquisadores da Check Point descobriram várias vulnerabilidades de segurança em Fortnite, um jogo de batalha on-line altamente popular, um dos quais poderia permitir que atacantes remotos roubassem contas de jogadores apenas enganando os usuários para que clicassem em um link suspeito.
As falhas do Fortnite relatadas incluem injeção de SQL, erro de cross-site scripting (XSS), bypass de WAF e o mais importante, uma vulnerabilidade no controle de conta OAuth.
A compra de uma conta pode ser um pesadelo, especialmente para jogadores de um jogo on-line tão popular que foi jogado por 80 milhões de usuários em todo o mundo, e uma boa conta do Fortnite foi vendida no eBay por mais de US $ 50.000.
O jogo Fortnite permite que seus jogadores façam login em suas contas usando provedores de Single Sign-On (SSO), como contas do Facebook, Google, Xbox e PlayStation. De acordo com os pesquisadores, a combinação de falhas de cross-site scripting (XSS) e um problema de redirecionamento malicioso nos subdomínios da Epic Games permitiram que os invasores roubassem o token de autenticação dos usuários apenas enganando-os para que clicassem em um link da Web criado pelo atacante. Uma vez comprometido, um invasor pode acessar as informações pessoais dos jogadores, comprar moedas virtuais no jogo e comprar equipamentos de jogos que seriam transferidos para uma conta separada controlada pelo atacante e revendida.
"Os usuários podem fazer grandes compras de moeda no jogo com seus cartões de crédito, e o atacante pode usar a moeda virtual para ser vendida por dinheiro no mundo real", explicam os pesquisadores da Check Point em seu post publicado hoje.
"Afinal de contas, como mencionado acima, nós já vimos golpes similares operando por trás da popularidade do Fortnite."
O atacante pode até ter acesso a todos os contatos e conversas no jogo da vítima mantidas pelo jogador e seus amigos durante o jogo, que podem ser abusados para explorar a privacidade do proprietário da conta.
Um dos jogos da Epic Games continha uma vulnerabilidade de injeção de SQL, que, se explorada, poderia permitir que atacantes identificassem qual versão do banco de dados MySQL estava sendo usada.
Além disso, os pesquisadores também conseguiram contornar o WAF da BIG-IP Application Security Manager (ASM) usado pela infra-estrutura Fortnite para executar com êxito o ataque de Cross-site-Scripting contra o processo de login do usuário.
Os pesquisadores da Check Point notificaram o desenvolvimento das vulnerabilidades da Fortnite pela Epic Games, que a empresa arrumou em meados de dezembro.
Tanto a Check Point quanto a Epic Games recomendam que todos os usuários da Fortnite permaneçam vigilantes enquanto trocam qualquer informação digitalmente e questionam a legitimidade dos links para informações disponíveis no Fórum do Usuário e em outros sites da Fortnite.
Para proteger suas contas de serem sequestradas, os jogadores também são aconselhados a habilitar a autenticação de dois fatores (2FA), que solicita que os usuários insiram um código de segurança enviado ao seu e-mail ao fazer login no jogo Fortnite.
THEHACKERNEWS
TRADUZIDO!
Comentários
Postar um comentário