Pesquisadores da empresa de segurança Check Point descobriram vulnerabilidades no site da Epic Games, que permitiam a criminosos virtuais acessar as contas do Fornite sem sequer precisar de uma senha. Os especialistas descobriram ainda que, uma vez nessas essas contas, os hackers ainda podiam escutar as conversas dos amigos e usar as informações do cartão de crédito das vítimas para comprar itens do jogo.

Com o sucesso de Fortnite, que hoje tem cerca de 80 milhões de jogadores, a Epic Games lucrou mais de US$ 2 bilhões de dólares com o jogo em 2018, além de ser avaliada, hoje, em US$ 15 bilhões. Com tudo isso, é normal que a popularidade do jogo atraia criminosos virtuais de olho nas compras dentro do game. E, claro, surgem aí as preocupações com a segurança.

Em agosto de 2018, a Epic Games corrigiu uma falha de segurança em seu instalador para dispositivos Android, depois que pesquisadores do Google revelaram uma vulnerabilidade que poderia ter levado vítimas a instalar uma versão falsa de Fornite. Devido à sua popularidade, foi descoberto que Fortnite é um dos principais alvos do malware, com uma onda de aplicativos falsos surgindo online. Para tentar diminuir ao máximo as preocupações com segurança. A Epic Games tentou incentivar seus jogadores a usar a autenticação em dois fatores oferecendo brindes a quem o fizesse.

“Tivemos diversos relatos de abusos na rede da Fortnite”, declarou Oded Vanunu, chefe de pesquisa de vulnerabilidades da Check Point, ao site Cnet. “Fornite é mais do que um jogo – essa é uma enorme infraestrutura que atende a 80 milhões de jogadores, que são, na maioria, crianças”.
Falha foi encontrada em site da Epic Games…de 2004

Como o ataque funcionava

Mesmo com diversas medidas de segurança por parte da Fortnite no último ano, foi um site de 2004 da própria Epic Games que trazia uma brecha que permitia aos hackers assumirem as contas dos usuários de Fortnite. Os pesquisadores da Check Point encontraram uma URL insegura no endereço “ut2004stats.epicgames.com “- uma página de registros do jogo Unreal Tournament, lançado em 1998.

A página, que já foi desativada, estava aberta a ataques de script entre sites – quando alguém insere um código malicioso em uma página web. Os pesquisadores escreveram um código e o injetaram na página da Web para redirecionar os tokens de acesso de Fortnite aos servidores da Check Point, em vez do site da Epic Games.

Para quem não sabe, os tokens de acesso funcionam como autenticações fora da senha – são códigos gerados pelas plataformas para manter o usuário conectado, para que não seja necessário inserir login e senha toda vez que ele visitar uma página. A vulnerabilidade do Fortnite tirava proveito da vulnerabilidade de muitas maneiras diferentes, já que a plataforma permitia ao usuário entrar em sua conta da Epic Games, utilizando tokens de acesso das contas do Facebook, Google e Xbox.

De acordo com Eran Vaknin, pesquisador de segurança da Check Point, para que o ataque tivesse sucesso, o atacante teria que enviar o link de phishing na plataforma em que a vítima acessa o Fortnite – assim, quando ela vinculasse a conta da Epic Games ao Facebook, o hacker teria que passar pela rede social. Assim, depois de clicar no link, esses dados são extraídos, mesmo que a vítima não digite nada. Como a página comprometida tinha um URL da Epic Games, o golpe poderia passar despercebido para a imensa maioria das vítimas. “Mesmo que você tenha um produto de segurança com a funcionalidade de anti-phishing, ele não o pegaria, porque o golpe está sendo executado em um domínio legítimo”, disse Vaknin.

Falha já foi corrigida pela Epic Games

Falha foi descoberta pelos especialistas da Check Point em novembro do ano passado. Alertada, a Epic Games afirmou que a vulnerabilidade foi corrigida no começo de janeiro.

Em comunicado, um porta voz da Epic Games afirmou: “Fomos informados das vulnerabilidades e elas foram rapidamente resolvidas. Agradecemos à Check Point por trazer isso à nossa atenção. Como sempre, incentivamos os jogadores a proteger suas contas, não reutilizando senhas e usando senhas fortes, e não compartilhando informações de conta com outros “.

Fonte: Cnet