Các nhà nghiên cứu của Check Point đã phát hiện ra nhiều lỗ hổng bảo mật trong Fortnite, một trò chơi chiến đấu trực tuyến cực kỳ phổ biến, một trong số đó có thể cho phép kẻ tấn công từ xa chiếm đoạt hoàn toàn tài khoản của người chơi chỉ bằng cách lừa người dùng nhấp vào một liên kết không đáng ngờ.
Các lỗ hổng Fortnite được báo cáo bao gồm lỗi SQL injection, lỗi cross-site scripting (XSS), sự cố bỏ qua tường lửa ứng dụng web và quan trọng nhất là lỗ hổng chiếm đoạt tài khoản OAuth.
Việc chiếm toàn bộ tài khoản có thể là một cơn ác mộng, đặc biệt đối với những người chơi trò chơi trực tuyến cực kỳ phổ biến đã được 80 triệu người dùng trên toàn thế giới chơi và khi một tài khoản Fortnite tốt đã được bán trên eBay với giá hơn 50.000 đô la.
Trò chơi Fortnite cho phép người chơi đăng nhập vào tài khoản của họ bằng cách sử dụng nhà cung cấp dịch vụ Đăng nhập một lần (SSO) bên thứ ba, chẳng hạn như tài khoản Facebook, Google, Xbox và PlayStation.
Theo các nhà nghiên cứu, sự kết hợp giữa lỗ hổng cross-site scripting (XSS) và sự cố chuyển hướng độc hại trên tên miền phụ của Epic Games đã cho phép kẻ tấn công đánh cắp mã thông báo xác thực của người dùng chỉ bằng cách lừa họ nhấp vào liên kết web được tạo đặc biệt.
Sau khi bị xâm phạm, kẻ tấn công sau đó có thể truy cập thông tin cá nhân của người chơi, mua tiền ảo trong trò chơi và mua thiết bị trò chơi, sau đó sẽ được chuyển đến một tài khoản riêng do kẻ tấn công kiểm soát và bán lại.
Các nhà nghiên cứu của Check Point giải thích trong bài đăng trên blog của họ được công bố hôm nay: “Người dùng có thể thấy rõ các giao dịch mua tiền tệ trong trò chơi khổng lồ được thực hiện bằng thẻ tín dụng của họ khi kẻ tấn công chuyển số tiền ảo đó để bán lấy tiền mặt trong thế giới thực.
“Xét cho cùng, như đã đề cập ở trên, chúng tôi đã thấy những vụ lừa đảo tương tự hoạt động dựa trên sự phổ biến của Fortnite.”
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Kẻ tấn công thậm chí có thể có quyền truy cập vào tất cả các liên hệ và cuộc trò chuyện trong trò chơi của nạn nhân do người chơi và bạn bè của anh ta nắm giữ trong trò chơi, sau đó có thể bị lạm dụng để khai thác quyền riêng tư của chủ sở hữu tài khoản.
Một trong những Trò chơi sử thi ‘có lỗ hổng SQL injection, nếu bị khai thác, có thể cho phép kẻ tấn công xác định phiên bản cơ sở dữ liệu MySQL nào đang được sử dụng.
Bên cạnh đó, các nhà nghiên cứu cũng có thể vượt qua hệ thống tường lửa ứng dụng web được cấu hình kém được sử dụng bởi cơ sở hạ tầng Fortnite để thực hiện thành công cuộc tấn công kịch bản chéo trang chống lại quá trình đăng nhập của người dùng.
Các nhà nghiên cứu của Check Point đã thông báo cho nhà phát triển của Epic Games về các lỗ hổng Fortnite mà công ty đã sửa vào giữa tháng 12.
Cả Check Point và Epic Games đều khuyến nghị tất cả người dùng Fortnite nên cảnh giác khi trao đổi bất kỳ thông tin nào bằng kỹ thuật số và đặt câu hỏi về tính hợp pháp của các liên kết đến thông tin có sẵn trên Diễn đàn người dùng và các trang web khác của Fortnite.
Để bảo vệ tài khoản của họ khỏi bị xâm nhập, người chơi cũng nên bật xác thực hai yếu tố (2FA) để nhắc người dùng nhập mã bảo mật được gửi đến email của họ khi đăng nhập vào trò chơi Fortnite.
