Poważna luka w Fortnite. Atakujący mogli przejąć konta i kupić na nich V‑dolce

Fortnite, bardzo popularna gra typu Battle Royale, stwarzała spore zagrożenie dla graczy. Analitycy znaleźli podatności, które pozwalały przejść konta graczy i kupić na nich V-dolce, czyli wewnętrzną walutę gry. Stawka jest wysoka. Gracze inwestują w Fortnite dziesiątki godzin gry, prawdziwe pieniądze i podają w ustawieniach numery kart płatniczych.

W Fortnite gra prawie 80 milionów osób z całego świata, głównie dzieci i młodzież. Gra jest popularna na Androidzie, iOS-ie, Windowsie, można też grać w nią na konsolach Xbox One i PlayStation 4. Fenomen Fortnite jest obecny także w świecie profesjonalnych streamerów, których rozgrywki oglądają tysiące fanów. Gra uczyniła z Epic Games miliarderów.

Gdyby informacje o możliwym ataku wpadły w niepowołane ręce, świat Fortnite zostałby wywrócony do góry nogami. Podatność dawała atakującemu pełny dostęp do konta użytkownika, danych osobistych i pozwalała na kupowanie V-dolców jego kartą płatniczą, połączoną z kontem. Poza stratami finansowymi atakujący mogliby także naruszyć prywatność graczy, podsłuchując rozmowy w grze i dźwięki z otoczenia grającego. Co ważne, metoda przedstawiona przez specjalistów nie wymaga, by gracz podawał swoje dane na fałszywej stronie, obiecującej zastrzyk V-dolców w grze. Atak jest bardziej finezyjny.

Podatności odkryli analitycy z firmy Check Point i natychmiast powiadomili Epic Games o ich obecności. Obecnie ataków nie da się przeprowadzić, więc specjaliści mogą podzielić się szczegółami z szerszym gronem odbiorców. Opisy i przykładowe ataki możecie zobaczyć w raporcie.

Przyczyną problemów były błędy w infrastrukturze sieciowej wydawcy gry. Niektóre z poddomen należących do Epic Games pozwalały na przeprowadzenie ataku XSS (cross site scripting). Gracz nie musiał się nigdzie logować – wystarczyło, że kliknął szkodliwy link, wysłany oczywiście z domeny Epic Games dla uśpienia czujności ofiary. Atakujący mogli następnie przechwycić token uwierzytelniajcy, korzystając z przejętej poddomeny. Analitycy byli w stanie zademonstrować atak z wykorzystaniem systemów SSO (single sign on) Facebooka, ale zadziałałby także z kontami Google, Xbox czy PlayStation.

Oded Vanunu, szef działu badań podatności produktów firmy Check Point, zaproponował wprowadzenie dwuskładnikowego uwierzytelniania jako skutecznego zabezpieczenia przed takimi atakami. Graczom zalecamy czujność, a w szczególności unikanie klikania w linki, których pochodzenia nie jesteśmy pewni. Dobrze by było, gdyby rodzice od wczesnych lat uczyli dzieci ostrożności w cyfrowym świecie. Administratorzy serwerów Epic Games zaś powinni częściej przeprowadzać audyty bezpieczeństwa.