Check Point alerta sobre vulnerabilidades que afectaban “a cualquier usuario” de Fortnite
El fallo, ya solventado, tenía que ver con el proceso para el inicio de sesión y la posibilidad de redireccionar subdominios.
Los jugadores de Fortnite han estado expuestos a una serie de vulnerabilidades que ya han sido reportadas y solventadas por Epic Games y que, según explica la firma de seguridad Check Point “pueden haber afectado a cualquier usuario” de los casi 80 millones que existen en todo el mundo.
Esta problemática es diferente a otras que se habían producido en el pasado basándose en estafas en relación con la moneda V-Buck.
En este caso, los ciberdelincuentes tenían la posibilidad de acceder a las cuentas de usuario con ayuda de hasta tres vulnerabilidades encontradas en la infraestructura web de la desarrolladora de Fortnite. El fallo estaba en el proceso de autenticación basado en tokens usado en combinación con sistemas Single Sign-On, esto es, en el proceso para el inicio de sesión de Fortnite, por defectos en un par de subdominios de Epic Games que eran vulnerables a redirecciones malintencionadas.
Si un jugador pinchaba “en un enlace de phishing creado a partir de un dominio de Epic Games”, el token de autenticación podía acabar “capturado por el intruso” y esto sin necesidad de que el usuario introdujese “ninguna credencial de inicio de sesión”, tal y como explica Check Point.
A partir de ahí, los criminales serían capaces de acceder a información personal, de comprar dinero virtual empleando datos de las tarjetas de sus víctimas y de escuchar conversaciones en el juego u otros sonidos.
“Fortnite es uno de los juegos más populares, sobre todo entre el público más joven, y estos fallos dan acceso a una vulneración de la privacidad a gran escala”, indica Oded Vanunu, jefe de investigación de vulnerabilidad de productos de Check Point. Sería “una muestra clara de lo susceptibles que son a los ataques e infecciones a las aplicaciones en la nube”. Vanunu explica que “estas plataformas están en el punto de mira de los hackers debido a la gran cantidad de datos sensibles de clientes que contienen”.
Para evitar caer en la trampa, se recomienda cautela con los enlaces colgados en foros y ciertas páginas web, así como aplicar sistemas de verificación en dos pasos.