Vulnerabilidades no jogo Fortnite podem ter comprometido dados dos utilizadores

Segundo a análise efetuada pela Check Point as vulnerabilidades encontradas no Fortnite, se explorada poderia dar, aos cibercriminosos, o acesso completo às contas e informações pessoais dos utilizadores, bem como permitir compras com a moeda virtual de jogo, fazendo uso das informações do cartão de crédito das vítimas. 

Esta vulnerabilidade também poderia dar origem a uma super invasão de privacidade, uma vez que os atacantes conseguiriam ouvir as conversas tidas durante o jogo, bem como os sons envolventes, incluindo conversações das vítimas com as pessoas que estão em suas casas ou noutros locais onde estas se encontrem. Enquanto que os jogadores de Fortnite já foram alvo de esquemas que tiveram como objetivo fazer com que estes fizessem login em sites falsos, que prometiam gerar a moeda de jogo, “V-Buck”. Estas vulnerabilidades podem ter sido exploradas sem que os jogadores tivessem partilhado as suas informações de login.  

Os investigadores da Check Point descreveram o procedimento através do qual o atacante poderia, eventualmente, conseguir o acesso à conta dos utilizadores, através das vulnerabilidades descobertas durante o processo de login dos mesmos. Graças às três falhas de segurança descobertas na infraestrutura web da Epic Games. A equipa de investigação foi capaz de demonstrar como o processo de autenticação baseado em tokens, usado em conjunto com o sistema Single Sign-On (SSO) no Facebook, Google e Xbox, consegue roubar as credenciais de acesso dos utilizadores e apropriar-se das suas contas. 

Para ser uma vítima deste ataque, o jogador apenas tem de clicar num link de phishing enviado pelo ciber criminoso, através do domínio da Epic Games, para que tudo pareça normal. Uma vez feito o clique, o token de autenticação do Fortnite passa a poder ser capturado pelo atacante, sem que o utilizador tenha digitado nenhuma das suas credenciais. De acordo com a equipa de investigadores da Check Point, as potenciais vulnerabilidades originadas pelas falhas encontradas em dois subdomínios da Epic Games, que estavam suscetíveis de serem redirecionadas de forma maliciosa, permitia que os tokens de autenticação legítima dos utilizadores, fossem intercetados por um hacker através de um subdomínio comprometido. 

“O Fortnite é um dos jogos mais populares, jogado principalmente por crianças. Estas brechas de segurança abrem espaço para uma invasão de privacidade massiva”, afirma Oded Vanunu, Head of Products Vulnerability Research da Check Point. “Juntamente com as vulnerabilidades recentemente descobertas nas plataformas usadas pela fabricante de drones DJI, mostrou-se o quão suscetíveis as aplicações cloud são aos ciberataques e às brechas de segurança. Estas plataformas estão a ser, cada vez mais, alvo dos ataques de hackers, graças à grande quantidade de informação sensível que armazenam. Aplicar uma autenticação de dois fatores pode ajudar a mitigar a vulnerabilidade que faz com que as contas dos utilizadores sejam invadidas". 

De acordo com a Epic Games, esta vulnerabilidade encontra-se resolvida.