Check Point Research, empresa israelí especializada en ciberseguridad, asegura haber descubierto una preocupante brecha de seguridad en el popular videojuego Fortnite. Este fallo permitía, según la firma, controlar las cuentas de los más de 200 millones de usuarios mediante un simple enlace malicioso.
Concretamente, la vulnerabilidad se encontraba en el registro de cuentas del título y dejaba expuesta la información personal, incluida la información de las tarjetas de crédito o débito, de los jugadores. Gracias a este error, un ciberatacante tenía la posibilidad de realizar compras en el juego mediante la moneda virtual V-Buck según explican los investigadores informáticos israelíes.
La investigación del equipo de Check Point se ha basado en un método que no requiere que el usuario entregara ningún tipo de dato de acceso a Fortnite. En este caso, según explican, aprovecha el uso de tokens de autenticación de Epic Games junto con proveedores de Single Sign-Oncomo Facebook, Google, X-Box y otros que están integrados en el proceso de acceso de los usuarios.
También era posible escuchar conversaciones
Para que un ataque tuviese éxito, una víctima solo tenía que hacer clic en un enlace malicioso creado por un atacante. "Para aumentar la probabilidad de que una víctima potencial haga clic en este enlace", dicen desde la firma de seguridad, "por ejemplo, podría ser enviado con un incentivo prometiendo créditos gratis".
Una vez clicado dicho enlace, el usuario estaba cazado, aseguran. Sin necesidad de que introdujese ningún dato para el inicio de sesión, se podía capturar inmediatamente el token de autenticación de Fortnite.
Con el token de acceso en manos del atacante, este podia iniciar sesión en la cuenta del juego del usuario, pudiendo ver cualquier información que esta contenga, como las tarjetas bancarias. Además, dicen desde Check Point Research, tenían la posibilidad de comprar más dinero en el juego a cuenta de la víctima, acceder a sus contactos en el juego, así como escuchar —y grabar, si quisieran— las conversaciones que tienen lugar durante las partidas.
La firma de seguridad informó sobre la brecha de seguridad a Epic Games, la compañía desarrolladora responsable del exitoso Fortnite, y las vulnerabilidades ya se encontrarían resueltas actualmente según Check Point.
Ver 2 comentarios