Con un solo clic, cualquier pirata informático semicualificado podría haberse apoderado silenciosamente de una cuenta Fortnite, según una firma de ciberseguridad que dice que el error ya está solucionado.

Los investigadores en Check Point dicen que las tres vulnerabilidades encadenadas podrían haber afectado a cualquiera de sus 200 millones de jugadores. Las fallas, si se explotaran, habrían robado el token de acceso a la cuenta establecido en el dispositivo del jugador una vez que ingresaron su contraseña.

Una vez robado, ese token podría usarse para hacerse pasar por el jugador e iniciar sesión como si fuera el titular de la cuenta, sin necesidad de su contraseña.

Los investigadores dicen que la falla radica en cómo Epic Games, el fabricante de Fortnite, maneja las solicitudes de inicio de sesión. Los investigadores dijeron que podían enviar a cualquier usuario un enlace creado que parece provenir del propio dominio de Epic Games y robar un token de acceso necesario para ingresar en una cuenta.

Oded Vanunu de Check Point explica cómo funciona el error. (Imagen: suministrada)

"Es importante recordar que la URL proviene de un dominio de Epic Games, por lo que es transparente para el usuario y cualquier filtro de seguridad no sospechará nada", dijo Oded Vanunu, jefe de investigación de vulnerabilidad de Check Point, en un correo electrónico a TechCrunch.

Así es como funciona: el usuario hace clic en un enlace, que apunta a un subdominio epicgames.com, en el cual el pirata informático inserta un enlace a código malicioso en su propio servidor al explotar una debilidad entre sitios en el subdominio. Una vez que el script malicioso se carga, sin que lo sepa el jugador Fortnite, roba su token de cuenta y lo envía de vuelta al pirata informático.

"Si el usuario víctima no está conectado al juego, primero tendrá que iniciar sesión", dijo Vanunu. "Una vez que esa persona ha iniciado sesión, la cuenta puede ser robada".

Epic Games ha arreglado la vulnerabilidad desde entonces.

"Fuimos conscientes de las vulnerabilidades y pronto se abordaron", dijo Nick Chester, portavoz de Epic Games. "Agradecemos a Check Point por llamar esto a nuestra atención".

"Como siempre, alentamos a los jugadores a proteger sus cuentas al no reutilizar las contraseñas y usar contraseñas seguras, y no compartir la información de la cuenta con otros", dijo.

Cuando se le preguntó, Epic Games no diría si los datos del usuario o las cuentas se vieron comprometidos como resultado de esta vulnerabilidad.

Dejar respuesta

Please enter your comment!
Please enter your name here