Dane graczy Fortnite w niebezpieczeństwie. Wszystko przez Unreal Tournament

Dane graczy Fortnite trafiły do rąk badaczy tuż po tym, jak znaleźli poważną lukę na stronie dedykowanej grze Unreal Tournament - zawierającej statystyki poszczególnych graczy. Wykorzystując podatności znajdujące się w witrynie, udało im się dotrzeć do informacji dotyczących najnowszego hitu Epic Games - w grę wchodziło podsłuchiwanie rozmawiających ze sobą amatorów battle royale, a nawet kupowanie tzw. "V-Dolarów" za pomocą danych kart płatniczych należących do graczy. Co ciekawe, eksperci ds. cyberbezpieczeństwa wiedzieli o tym już w listopadzie, natomiast wzmianki o błędzie pojawiły się w mediach dopiero teraz.

Opóźnienie w poinformowaniu świata o tym incydencie miało jednak związek z koniecznością utrzymania tej możliwości w tajemnicy - do czasu rozwiązania problemu. Gdyby jakakolwiek wzmianka na temat podatności pojawiła się w mediach przed całkowitym zabezpieczeniem infrastruktury Epic Games, mogłoby być naprawdę nieciekawie. Jak wykazaliśmy powyżej, luka pozwalała na dostęp do danych płatniczych graczy - skutki udostępnienia jakichkolwiek danych o możliwym ataku mogłyby być dla producenta tytułu opłakane.

Fortnite Android - wymagania. Sprawdź, co musi mieć Twój smartfon

Unreal Tournament solą w oku Fortnite

Wygląda na to, że problemem dla Fortnite była infrastruktura działająca jeszcze za Unreal Tournament - zmagania sieciowe graczy wymusiły na Epic Games skonstruowanie bazy statystyk. Każdy profil, który uczestniczył w wirtualnych zmaganiach był ewaluowany przez system, a jego osiągnięcia przechowywano widocznie aż do teraz. Najprawdopodobniej, mało kto jednak zaprzątał sobie głowę tym, aby zabezpieczać akurat to miejsce należące do Epic Games - badaczom udało się wykorzystać kilka podatności i dzięki nim uzyskać dostęp do danych dotyczących innego tytułu - Fortnite. Dla Epic Games jest to kura znoszące złote jaja - głównie dzięki licznym mikropłatnościom.

Czytaj dalej poniżej

Trzeba było wielu lat, abym w końcu przeszedł i docenił Half-Life Artur Janczak

Sony pozwoliło kolejnej grze na rozgrywkę między różnymi platformami Piotr Kurek

Ekspertom z Check Point udało się wyciągnąć tokeny, które utrzymywały zalogowanie użytkownika w konkretnym serwisie. Uzyskując je, możliwe jest dostanie się do profilu użytkownika bez wpisywania hasła - ten błąd działał również w przypadku tych kont, które wykorzystywały do logowania się inne platformy - takie jak Facebook, Google, PlayStation, Nintendo czy Xbox zamiast typowego loginu zakładanego w serwisie Epic.

Check Point twierdzi, że nie istnieją żadne dowody na to, że jakikolwiek użytkownik został zaatakowany w ten sposób, ale dla bezpieczeństwa warto zmienić hasło wykorzystywane do logowania się w Fortnite (właściwie, to powinniśmy to robić co jakiś czas...). Tym razem najprawdopodobniej obyło się bez większej wpadki - Epic ma za sobą już jeden taki incydent, kiedy to wersja gry na Androida doczekała się "fałszywych klonów" poza sklepem Google Play - te zaś okazywały się być fałszywkami ze złośliwym oprogramowaniem.