Según los especialistas de Check Point Software, varias vulnerabilidades en Fortnite permitirían que los hackers accedan a las cuentas del juegos, datos, el dinero del juego, e incluso que escuchen las conversaciones de los jugadores
Según Business Insider, más de 80 millones de personas en todo el mundo juegan al Fortnite, el inmensamente popular juego de supervivencia, disponible en muchas plataformas de juego (Android, iOS, PC a través de Microsoft Windows y consolas como Xbox One y PlayStation 4).
En un post detallado publicado en forma reciente, los investigadores israelíes dijeron que las fallas de seguridad “podrían haber permitido a un hacker hacerse cargo de la cuenta de cualquier participante del juego, ver la información de su cuenta personal, comprar V-bucks -la moneda virtual de Fortnite-, y escuchar a escondidas las conversaciones en el juego y las de fondo de los jugadores“.
Los investigadores detallaron los intentos anteriores de los piratas informáticos para engañar a los jugadores y hace que revelen información al “iniciar sesión en sitios web falsos que prometían generar ‘V-Bucks’, que generalmente solo se pueden adquirir a través de la tienda oficial Fortnite o ganándolos en el juego mismo “.
Pero las fallas recién descubiertas podrían haber sido explotadas sin que los jugadores entregaran detalles de inicio de sesión o información personal como nombres, direcciones y detalles de tarjetas de crédito.
En cambio, el atacante podría obtener acceso a la cuenta de un usuario a través de las vulnerabilidades en el proceso de inicio de sesión de Fortnite, dijeron los investigadores, descubriendo fallas en la infraestructura web del juego.
“[Los] especialistas pudieron usar el proceso de autenticación basado en token que se utiliza -junto con los sistemas de inicio de sesión único (SSO) como Facebook, Google y Xbox- para robar las credenciales de acceso del usuario y hacerse cargo de su cuenta”, dijo Check Point en un comunicado.
“Para ser víctima de este ataque, un jugador solo tiene que hacer clic en un enlace de phishing creado desde un dominio de Epic Games … [después de lo cual] el atacante podría capturar el token de autenticación Fortnite sin que el usuario ingrese ninguna credencial de inicio de sesión“.
De acuerdo con los investigadores de Check Point, la vulnerabilidad potencial se originó a partir de fallas encontradas en dos de los subdominios de Epic Games que fueron susceptibles de una redirección maliciosa, lo que permite que los hackers intercepten los tokens de autenticación legítimos de los usuarios del subdominio comprometido.
Junto con las vulnerabilidades que se encontraron recientemente en las plataformas utilizadas por el fabricante de drones DJI, esta investigación muestra cuán susceptibles son las aplicaciones en la nube a los ataques y “penetraciones”.
Estas plataformas están siendo cada vez más atacadas por los hackers informáticos debido a la gran cantidad de datos confidenciales de los clientes que poseen. La aplicación de la autenticación de dos factores podría mitigar esta vulnerabilidad, dijeron también.
Las vulnerabilidades se han corregido desde entonces, indicaron en Epic Games, desarrollador de Fortnite.