В Fortnite закрыли уязвимость, позволявшую получать полный доступ к учеткам

С помощью фишинговых ссылок хакеры могли похищать токены аутентификации игроков.

Специалисты Epic Games устранили серьезную уязвимость, позволявшую хакерам получать доступ к аккаунтам игроков в Fortnite. Уязвимость была обнаружена исследователями компании Check Point Software Technologies в ноябре 2018 года.

Проблема присутствовала в веб-инфраструктуре Epic Games. У сайта компании существовало несколько старых поддоменов (например, ut2004stats.epicgames.com), не обладавших необходимой защитой.

С помощью специально сформированной фишинговой ссылки хакеры перехватывали токены авторизации, использующиеся игроками. После этого они могли изучать личные данные жертв, читать их чаты и покупать виртуальную валюту, используя привязанные кредитки.

По словам представителей Epic Games, уязвимость была устранена в январе 2019 года. Чтобы избежать аналогичных атак специалисты Check Point Software Technologies рекомендуют пользователям переходить на двухфакторную авторизацию.

Полное описание технических деталей атаки есть здесь.