Beveiligingslek ontdekt in Fortnite

Onderzoekers van Check Point hebben vandaag de details vrijgegeven over een beveiligingslek in Fortnite. Deze populaire third person shooter game is wereldwijd goed voor bijna 80 miljoen spelers. De game is populair op alle spelplatformen, waaronder Android, iOS, pc (Microsoft Windows) en consoles zoals Xbox One en PlayStation 4.

Toegang tot spelersaccount

Bij misbruik zou het beveiligingslek een hacker de volledige toegang tot het account van een gebruiker en zijn persoonlijke informatie kunnen verschaffen. De hacker zou virtuele in-game valuta kunnen kopen via de betaalkaartgegevens van het slachtoffer. Via het lek zou een kwaadwillige hacker ook naar de in-game chat van de speler kunnen luisteren, evenals naar omgevingsgeluid en gesprekken in de kamer waar het slachtoffer het spel speelde.

Fortnite-spelers waren eerder al het doel van hackers. Toen werden ze misleid om zich aan te melden bij valse websites die hen beloofden om zogenaamde Fortnite’s ‘V-Buck’ in-game valuta te genereren. Maar dit recentste beveiligingslek kon worden uitgebuit zonder dat de speler zijn inloggegevens overhandigde.

Werkwijze blootgelegd

Volgens de onderzoekers konden hackers toegang krijgen tot het account van een gebruiker door middel van enkele lekken in de aanmeldingsprocedure van gebruikers. Door 3 fouten in de webinfrastructuur van Epic Games, ontdekten de onderzoekers hoe ze via het op tokens gebaseerde authenticatieproces – in combinatie met Single Sign-On-systemen zoals Facebook, Google en Xbox – de toegangsreferenties van de speler konden stelen en hun account overnemen.

Om slachtoffer te worden van deze aanval, hoefde een speler alleen maar te klikken op een phishing-link afkomstig van een domein van Epic Games, hoewel deze door de hacker verzonden was. Eenmaal aangeklikt, kon de hacker het Fortnite-authenticatietoken van de gebruiker bemachtigen zonder dat de gebruiker zijn inloggegevens hoefde in te voeren. Volgens de onderzoekers is dit beveiligingslek ontstaan door fouten in 2 subdomeinen van Epic Games die vatbaar waren voor dergelijke kwaadaardige omleidingen, waardoor de legitieme authenticatietokens van gebruikers kunnen worden onderschept door de hacker.

Awareness

Check Point heeft Epic Games op de hoogte gebracht van dit beveiligingslek dat inmiddels is opgelost. Beide bedrijven adviseren alle gebruikers om waakzaam te blijven bij het digitaal uitwisselen van informatie en om veilige cybergewoonten aan te houden bij online contact met anderen. Gebruikers moeten ook de legitimiteit in twijfel trekken van links die te zien zijn op gebruikersfora en websites.

Daarnaast is het ook belangrijk dat ouders hun kinderen bewust maken van de dreiging van online fraude en hen waarschuwen dat cybercriminelen er alles zullen aan doen om toegang te krijgen tot persoonlijke en financiële gegevens die bewaard worden in hun online account van het spel.

Twee-factor-authenticatie

Om de kans te verkleinen zelf slachtoffer te worden van een dergelijke aanval, is het aan te raden om twee-factor-authenticatie in te schakelen. Wanneer er iemand met een ander apparaat inlogt op dat account, moet de speler een beveiligingscode invoeren die naar zijn eigen e-mailadres (of mobiel-nummer) wordt verstuurd.