Недостаток безопасности в Fortnite был обнаружен Check Point Research к концу 2018 года. Уязвимость позволила хакерам легко инициировать фишинговую схему, отправляя пользователям ссылки, которые выглядели как страницы входа, но фактически собирали учетные записи пользователей.
CPR уведомил Epic Games о недостатке в ноябре, а Epic исправила уязвимость несколько недель спустя. Однако в течение этого времени - и в течение некоторого времени до того, как CPR отправил уведомление - пользователи Fortnite подвергались серьезному риску мошенничества.
CPR подробно описывает, как эксплойт работал, в очень техническом объяснении в своем блоге. Однако суть процесса была довольно простой:
- Хакеры используют систему единого входа, которую использует Fortnite, которая позволяет пользователю входить в Fortnite с использованием других учетных записей, таких как Facebook, Nintendo, Google+ и т. Д.
- Затем хакеры отправляют ссылку пользователю, который выглядит законным. Тем не менее, он фактически перенаправляет их через другой сервер, который очищает их регистрационную информацию.
- Поскольку ссылка выглядела законной, и пользователю не нужно было вводить свои учетные данные, пользователь считает, что ничего не произошло.
- Хакеры получают информацию для входа в систему, обгоняют учетную запись и используют приложенные способы оплаты для совершения мошеннических транзакций.
Согласно сГранихакеры, которые использовали этот эксплойт, покупали внутриигровую валюту Fortnite (V-Bucks), используя захваченные аккаунты, передавали эти V-Bucks на другой аккаунт, а затем продавали V-Bucks со скидкой другим игрокам в темной сети. ,
Fortnite зарабатывает миллиарды долларов от внутриигровых продаж, поэтому такая мошенническая деятельность может быть весьма прибыльной.
В заявлении Epic Games говорится: «Нам сообщили об уязвимостях, и вскоре они были устранены. Мы благодарим Check Point за то, что обратили на это наше внимание. Как всегда, мы призываем игроков защищать свои учетные записи, не используя повторно пароли и не используя надежные пароли, и не передавая информацию об учетных записях другим лицам ».
Хотя эта уязвимость теперь исправлена, это должно быть напоминанием всем о необходимости использовать надежные пароли, часто их менять и вводить учетные данные только на надежных веб-сайтах.
