Beveiligingslek Fortnite blootgelegd

Onderzoekers van Check Point Software Technologies, wereldwijd leverancier van cybersecurity-oplossingen, hebben vandaag details vrijgegeven over een beveiligingslek in het enorm populaire online spel Fortnite.

Het populaire online schietspel Fortnite heeft wereldwijd bijna 80 miljoen spelers. De game is populair op alle spelplatformen, waaronder Android, iOS, pc (via Microsoft Windows) en consoles zoals Xbox One en PlayStation 4. Fortnite wordt ook door professionele gamers gespeeld die hun sessies online streamen en is daarnaast populair bij liefhebbers van e-sports.

Toegang tot account van gamers
Het beveiligingslek gaf aanvallers volledige toegang tot het account van gebruikers en hun persoonlijke informatie. Hierdoor konden hackers virtuele in-game valuta kopen via de betaalgegevens van slachtoffers. Het lek zorgde ook dat hackers naar de in-game chat van spelers konden luisteren, evenals naar omgevingsgeluid en gesprekken in de ruimte waar het spel gespeeld werd.

Fortnite-spelers waren al eerder het doelwit van aanvallen; gebruikers werden toen misleid om zich aan te melden bij valse websites die hen beloofden om zogenaamde Fortnite's 'V-Buck' in-game valuta te genereren. Dit meest recente beveiligingslek kon echter worden uitgebuit zonder dat spelers hun inloggegevens overhandigden.

Werkwijze van hackers blootgelegd
Hackers konden toegang krijgen tot het account van de gebruiker door middel van enkele lekken in de inlogprocedure van gebruikers. Door drie fouten in de webinfrastructuur van Epic Games konden hackers - via het op tokens gebaseerde authenticatieproces in combinatie met single sign-on-systemen zoals Facebook, Google en Xbox - de toegangsreferenties van de speler stelen om vervolgens het account over te nemen.

Om slachtoffer te worden van deze aanval, hoefde een speler alleen maar te klikken op een phishing-link. Die link was afkomstig van een domein van Epic Games, maar werd verzonden door de hacker. Eenmaal aangeklikt, kon de hacker het Fortnite-authenticatietoken van de gebruiker bemachtigen zonder dat er inloggegevens ingevoerd moesten worden. Volgens de onderzoekers van Check Point is dit beveiligingslek ontstaan door fouten in twee subdomeinen van Epic Games die vatbaar waren voor dergelijke kwaadaardige omleidingen, waardoor de legitieme authenticatietokens van gebruikers konden worden onderschept door de hacker.

"Fortnite is momenteel een van de populairste games op de markt en wordt voornamelijk door kinderen gespeeld. De beveiligingslekken boden de mogelijkheid tot een grootschalige inbreuk op hun privacy”, zegt Oded Vanunu, Head of Products Vulnerability Research bij Check Point. "Samen met de lekken die we onlangs hebben aangetroffen op platformen van drone-fabrikant DJI, toont dit aan hoe vatbaar cloud-applicaties zijn voor aanvallen en inbreuken. Deze platformen zijn steeds vaker het doelwit van hackers vanwege de enorme hoeveelheden gevoelige klantgegevens die ze bevatten. Het verplichten van twee-factor-authenticatie kan deze kwetsbaarheid voor overname van accounts verminderen."