Ett nytt säkerhetshål hos Epic Games inloggningsprocess har nu upptäckts. Något som kan resultera i kapade konton och användaruppgifter för spelare av till exempel Fortnite.

Säkerhetsföretaget Check Point har nyligen upptäckts ett säkerhetshål i inloggningsprocessen hos Epic Games hemsida. Epic Games är studion bakom spel som det omåttligt populära Fortnite som idag har över 80 miljoner registrerade spelare sammanlagt mellan de plattformar spelet finns tillgängligt till.

Hur det skulle gå till

Säkerhetshålet rör främst användare som loggar in hos Epic Games med hjälp av en tredjepartshemsida som Facebook eller Google+. I vanliga fall skulle spelstudions login-server skicka en token till användarens Facebook eller Google-konto som sedan skickas tillbaka som identifikation.

Check Points forskare kunde hitta en svaghet i infrastrukturen hos account.epicgames.com som gjorde hemsidan öppen för omdirigering. Detta ledde till att forskarna kunde omdirigera trafik till en underdomän som även den hade säkerhetshål i sig och därifrån fånga identifikations-token som skickades tillbaka från t.ex Facebook eller Google+. Efter att detta token hade snappats upp av forskarna kunde det användas för att logga in på konton tillhörande andra spelare.

Enligt Check Point ska det endast ha krävts att offren klickar på en enkel phishing-länk som sedan dirigerar denna till den utsatta underdomänen. Offren ska inte ha behövt skriva in några som helt inloggningsuppgifter, utan deras inloggningstoken ska ha kunnat fångas upp av förövarna direkt.

Möjliga konsekvenser

Efter att denna till synes enkla kapning genomförts ska förövare haft tillgång till offrens inloggningsuppgifter och kontouppgifter. Möjliga förövare ska även haft möjligheten att tjuvlyssna inte bara på röstchatt som skett i spelet, utan även kunnat lyssna på ljud som användarens mikrofon plockat upp när som helst.

Det är inte bara privatlivet som drabbats, hade denna attack genomförts skulle förövare även ha möjligheten att använda offers konton för att köpa digital valuta i spelet. Något som kan leda till massiva finansiella förluster för den drabbade.

Epic Games snabba på bollen

Check Point nämner dock att Epic Games har lyckats åtgärda säkerhetsproblemet innan det offentliggjordes. Däremot rekommenderar både säkerhetsföretaget och spelutvecklaren att användare nyttjar tvåstegsautentisering. Detta innebär att om ett inloggningsförsök görs på ett konto från en tidigare okänd enhet måste detta försök godkännas via en säkerhetskod som skickar i ett mejl till användarens e-mejladress.

Lägsta pris på Prisjakt.se (Affiliate)

Leave a Reply

avatar
  Subscribe  
Notifiera vid