4

Dane graczy Fortnite w niebezpieczeństwie. Wszystko przez Unreal Tournament

A to ciekawe. Dopiero teraz dowiadujemy się o poważnej luce bezpieczeństwa gry Fortnite, która została zaatakowana dzięki infrastrukturze działającej za... Unreal Tournament. Jak do tego doszło?

Dane graczy Fortnite trafiły do rąk badaczy tuż po tym, jak znaleźli poważną lukę na stronie dedykowanej grze Unreal Tournament – zawierającej statystyki poszczególnych graczy. Wykorzystując podatności znajdujące się w witrynie, udało im się dotrzeć do informacji dotyczących najnowszego hitu Epic Games – w grę wchodziło podsłuchiwanie rozmawiających ze sobą amatorów battle royale, a nawet kupowanie tzw. „V-Dolarów” za pomocą danych kart płatniczych należących do graczy. Co ciekawe, eksperci ds. cyberbezpieczeństwa wiedzieli o tym już w listopadzie, natomiast wzmianki o błędzie pojawiły się w mediach dopiero teraz.

Opóźnienie w poinformowaniu świata o tym incydencie miało jednak związek z koniecznością utrzymania tej możliwości w tajemnicy – do czasu rozwiązania problemu. Gdyby jakakolwiek wzmianka na temat podatności pojawiła się w mediach przed całkowitym zabezpieczeniem infrastruktury Epic Games, mogłoby być naprawdę nieciekawie. Jak wykazaliśmy powyżej, luka pozwalała na dostęp do danych płatniczych graczy – skutki udostępnienia jakichkolwiek danych o możliwym ataku mogłyby być dla producenta tytułu opłakane.

Fortnite

Fortnite Android – wymagania. Sprawdź, co musi mieć Twój smartfon

Unreal Tournament solą w oku Fortnite

Wygląda na to, że problemem dla Fortnite była infrastruktura działająca jeszcze za Unreal Tournament – zmagania sieciowe graczy wymusiły na Epic Games skonstruowanie bazy statystyk. Każdy profil, który uczestniczył w wirtualnych zmaganiach był ewaluowany przez system, a jego osiągnięcia przechowywano widocznie aż do teraz. Najprawdopodobniej, mało kto jednak zaprzątał sobie głowę tym, aby zabezpieczać akurat to miejsce należące do Epic Games – badaczom udało się wykorzystać kilka podatności i dzięki nim uzyskać dostęp do danych dotyczących innego tytułu – Fortnite. Dla Epic Games jest to kura znoszące złote jaja – głównie dzięki licznym mikropłatnościom.

Ekspertom z Check Point udało się wyciągnąć tokeny, które utrzymywały zalogowanie użytkownika w konkretnym serwisie. Uzyskując je, możliwe jest dostanie się do profilu użytkownika bez wpisywania hasła – ten błąd działał również w przypadku tych kont, które wykorzystywały do logowania się inne platformy – takie jak Facebook, Google, PlayStation, Nintendo czy Xbox zamiast typowego loginu zakładanego w serwisie Epic.

Check Point twierdzi, że nie istnieją żadne dowody na to, że jakikolwiek użytkownik został zaatakowany w ten sposób, ale dla bezpieczeństwa warto zmienić hasło wykorzystywane do logowania się w Fortnite (właściwie, to powinniśmy to robić co jakiś czas…). Tym razem najprawdopodobniej obyło się bez większej wpadki – Epic ma za sobą już jeden taki incydent, kiedy to wersja gry na Androida doczekała się „fałszywych klonów” poza sklepem Google Play – te zaś okazywały się być fałszywkami ze złośliwym oprogramowaniem.