Säkerhetsföretaget Check Point avslöjar i dag sårbarheter som kan ha drabbat spelare av det populära onlinespelet Fortnite. Fortnite, som ges ut av spelutvecklaren Epic Games har över 80 miljoner spelare världen över, varav många är barn. Spelet finns för de flesta stora spelplattformar som Android, IOS och Windows, och spelkonsoler såsom Xbox One och Playstation 4.

Check Point skriver i ett pressmeddelande att om sårbarheten har utnyttjats skulle den ha gett hackare full åtkomst till användarkonton och andra personuppgifter. Genom denna åtkomst kan eventuella förövare ha kunnat köpa valuta, så kallade V-bucks, i spelet med hjälp av offrets kreditkortsuppgifter. Hackare ska också ha kunnat lyssna på konversationer i spelet samt omgivande ljud och konversationer i offrets hem eller på andra ställen.

Denna nya sårbarhet har kunnat drabba spelare utan att de har överlämnat några inloggningsuppgifter, till exempel via falska sajter, vilket varit fallet när Fortnite hackats vid tidigare tillfällen. Denna gång har hackare potentiellt kunnat få tillgång till användarkonton genom sårbarheter som upptäckts i Fortnites inloggningsprocess.

På grund av tre brister som hittades i Epic Games webbinfrastruktur kunde forskarna visa att den token-baserade autentiseringsprocessen kan ha använts tillsammans med single-sign-on-system (SSO), tillhandahållna av Facebook, Google och Xbox, i syfte att stjäla användaruppgifter och konton. Till saken hör att bra Fortnite-konton säljs på E-bay för över 50 000 kronor.

Enligt Check Point behöver en spelare bara klicka på en phishing-länk från en Epic Games-domän för att falla offer – länken verkar legitim, men har skickats av angriparen. När spelaren väl har klickat kan dennes autentiseringstoken i Fortnite fångas av angriparen utan att användaren anger några inloggningsuppgifter. Enligt Check Point har den potentiella sårbarheten uppstått på grund av brister som finns i två av Epic Games subdomäner, vilka utsatts för skadlig omdirigering av trafiken.

– Fortnite är ett av de mest populära spelen och spelas främst av barn. Dessa brister möjliggjorde ett omfattande intrång i privatlivet. Plattformarna är allt mer utsatta på grund av de enorma mängder känsliga kunddata de har. Bland annat aktiveringen av tvåfaktorsautentisering kan förhindra denna sårbarhet, säger Oded Vanunu, head of products vulnerability research på Check Point.

Oded Vanunu säger till Techworld att hans team inte kunnat se om någon förövare utnyttjat sårbarheten eller hur länge den funnits innan Check Point upptäckte den. Vanunus team började undersöka säkerheten i Fortnite efter att många spelare misstänkt att saker inte stod rätt till i spelet och deras konton. Vanunu poängterar att sårbarheten är mycket allvarlig då Fortnite är så mycket mer än endast ett spel; det är en hel plattform och ett forum där spelare umgås, kommunicerar, och även köper och säljer tillgångar med hjälp av V-bucks-valuta.

– Folk som spelar Fortnite kan skaffa olika tillgångar i spelet, och även hela konton kan säljas. Dessa tillgångar är värda riktiga pengar via den interna valutan, så det är precis användarkonton hackare vill komma över, säger Oded Vanunu.

Check Point har informerat Epic Games om sårbarheten och båda parter rekommenderar alla användare att ifrågasätta legitimiteten hos länkar till information som finns på användarforum och andra webbplatser med anknytning till Fortnite. Användare bör även aktivera tvåfaktorsautentisering vid inloggning på en ny enhet.

Techworld har utan framgång sökt Epic Games.

Läs också:
Elon Musk: allt du behöver veta om superentreprenören bakom Tesla och Spacex
Så mycket pengar kan du tjäna på att hacka en Tesla
Pewdiepie-supporter hackar 100 000 Chromecast-enheter