Společnost Check Point minulý týden zveřejnila informace o zranitelnostech, které mohli hackeři zneužít k útoku na jakéhokoli hráče populární hry Fortnite. Ta má aktuálně téměř 80 milionů hráčů po celém světě a hra je populární na všech herních platformách, včetně Androidu, iOS, PC a konzolí, jako jsou Xbox One a PlayStation 4. Hra je oblíbená nejenom mezi příležitostnými hráči, ale také mezi profesionály. Nejde přitom o první bezpečnostní chybu, už v srpnu loňského roku se v instalátoru hry objevila chyba, která umožňovala převzít kontrolu nad zařízením. Ani v tomto případě ale naštěstí nedošlo ke zneužití dat.
Fortnite: ke zneužití zranitelnosti naštěstí nedošlo
Pokud by zranitelnost byla zneužita, útočníci by získali plný přístup k uživatelskému účtu, osobním informacím a zároveň by mohli nakupovat virtuální herní měnu pomocí platební karty oběti. Zranitelnost by kyberzločincům také mohla umožnit masivní invazi do soukromí a odposlouchávat kromě chatu ve hře i rozhovory a zvuky přímo ve fyzickém okolí hráče. Hráči Fortnite byli už dříve terčem různých podvodů, které se je snažily přimět k přihlášení na falešných webových stránkách a slibovaly odměnu v podobě herní měny V-Buck. Nicméně nově objevené zranitelnosti umožňují hackerům ukrást účet, aniž by hráč musel zadávat své přihlašovací údaje.
Nepřehlédněte – Zločinci už nepreferují Bitcoin. Pro praní peněz využívají hru Fortnite
Výzkumníci odhalili proces, při němž mohli útočníci potenciálně získat přístup k účtu uživatele prostřednictvím zranitelností objevených v přihlašovacích procesech Fortnite. Tři zranitelnosti objevené ve webové infrastruktuře Epic Games umožňovaly v rámci autentizačního procesu v kombinaci se systémy jednotného přihlášení (Single Sign-On, SSO), jako jsou Facebook, Google a Xbox, ukrást uživatelské přihlašovací údaje a převzít kontrolu and účtem.
Aby se hráč stal obětí tohoto útoku, stačilo jen kliknout na speciálně vytvořený phishingový odkaz, který ovšem přišel z domény Epic Games, takže vše vypadalo legitimně, i když odkaz poslal útočník. Jakmile hráč na odkaz klikl, autentizační token uživatele mohl být zachycen útočníkem, aniž by uživatel musel zadávat přihlašovací údaje. Podle výzkumníků společnosti Check Point potenciální zranitelnosti pochází z chyb ve dvou subdoménách Epic Games, které bylo možné zneužít k přesměrování a zachycení autentizačních tokenů.
„Fortnite je jedna z nejpopulárnějších her, kterou hrají hlavně děti a tyto zranitelnosti mohly umožnit masivní narušení soukromí,“ říká Daniel Šafář, Country Manager CZR regionu ve společnosti Check Point. „Nedávno jsme odhalili zranitelnosti v platformách populárních dronů DJI a znovu se tak ukazuje, jak citlivé jsou z pohledu kyberbezpečnosti cloudové aplikace. Tyto platformy jsou stále častěji terčem hackerů, protože obsahují obrovské množství citlivých dat. Rizika, spojená s podobnými krádežemi účtů, může v podobných případech zmírnit například dvoufaktorová autentizace.“
Bezpečnostní chyba ve Fortnite již byla opravena
Check Point o zranitelnostech informoval společnost Epic Games, která chyby opravila. Check Point a Epic Games doporučují všem uživatelům, aby byli ostražití při digitální výměně informací a dodržovali v online světě bezpečné postupy. Uživatelé by také měli opatrně přistupovat k odkazům sdíleným na různých uživatelských fórech a webových stránkách.
Tip ke čtení: Fortnite prý ničí rodiny. Vážná závislost, nebo nezvládnutá výchova?
Organizace musí důkladně a pravidelně kontrolovat své IT infrastruktury, jestli nejsou online nějaké neaktualizované a nevyužívané stránky nebo přístupové body. Navíc je dobré kontrolovat všechny starší webové stránky nebo subdomény, které mohou být stále přístupné, i když se již aktivně nepoužívají.
Aby se minimalizovala hrozba útoku zneužívajícího zranitelnosti, uživatelé by měli používat dvoufaktorovou autentizaci a zajistit, že při přihlášení k účtu z nového zařízení bude vyžadován bezpečnostní kód zaslaný na e-mailovou adresu hráče. Je také důležité, aby rodiče varovali děti před online hrozbami, protože kyberzločinci udělají cokoli, aby získali přístup k osobním a finančním údajům, které mohou být součástí právě i herního online účtu. Celou ukázku toho, jak ke zneužití mohlo dojít, naleznete na blogu Check Pointu.
