Cos’è Fortnite?
Per chi fosse vissuto su di un altro pianeta nell’ultimo anno vi spieghiamo in breve di cosa si tratta.
Fortnite (link) è il videogame del momento. Conta quasi 80 milioni di giocatori in tutto il mondo. È tra i più giocati del momento e forse anche nella intera storia dei videogiochi. I suoi punti di forza sono:
- Gratuito,
- Multipiattaforma,
- Facilità di gioco,
- Non Pay-to-Win.
Il gioco è compatibile con varie piattaforme, tra cui Android, iOS, Windows e consolle come Xbox One e PlayStation 4. Fortnite è utilizzato sia dai giocatori occasionali sia da quelli professionisti. Molti gamer condividono le loro sessioni di gioco in streaming. Ormai Youtube e Twitch sono invase da video, clip e live relativi a questo videogioco. Fortnite si è anche ritagliato il suo spazio all’interno degli e-sport. In breve tempo sono emersi diversi giocatori professionisti. Questo perchè la modalità di gioco Battle Royale tende a premiare i giocatori con più skill. Più si gioca e più si è bravi nel farlo, maggiori saranno le possibilità di essere notati da squadre o altri gamer importanti. Epic Games organizza continuamente eventi riservati ai Top Player. La community si sta ingrandendo sempre di più.
la vulnerabilità
In passato i giocatori di Fortnite erano stati presi di mira da truffe che li portavano ad accedere a siti web falsi. In questi si prometteva di generare la valuta “V-Buck” di Fortnite all’interno del gioco.
La vulnerabilità scoperta riguarda la fase di login dell’utente di Fortnite. Se sfruttata avrebbe potuto consentire a un hacker di ottenere l’accesso all’account di un utente e ai propri dati personali. Non solo, avrebbe potuto ottenere moneta virtuale utilizzando i dati della carta di credito della vittima. Parliamo di una massiccia violazione della privacy. Infatti, un hacker avrebbe potuto intercettare conversazioni e le chat all’interno della casa della vittima o in un altro luogo.
Fortnite è tra i giochi più famosi utilizzati dai ragazzi. Questi difetti potevano permettere una massiccia violazione della privacy. Così come era successo per le vulnerabilità che abbiamo recentemente trovato nelle piattaforme utilizzate dal produttore di droni DJI, le applicazioni cloud sono esposte ad attacchi e violazioni. Queste piattaforme sono sempre più prese di mira dagli hacker a causa dell’enorme quantità di dati sensibili in loro possesso. L’autenticazione a due fattori potrebbe limitare la presa di controllo degli account da parte degli hacker.
Quanto ha dichiarato Oded Vanunu, Head Of Products Vulnerability Research di Check Point.
i dettagli tecnici
Il team di ricerca ha spiegato il percorso che un criminale potrebbe compiere per ottenere l’accesso all’account di un utente. Sono state riscontrate tre vulnerabilità presenti nell’infrastruttura web di Epic Games. Verrebbe sfruttato il processo di autenticazione basato su token utilizzato in combinazione con i sistemi SSO (Facebook, Google e Xbox) per rubare le credenziali di accesso dell’utente e assumere il controllo del loro account.
Per cadere vittima di questo attacco, al giocatore basta fare click su un link di phishing proveniente da Epic Games, ma che di fatto è stato inviato realmente dall’hacker. Una volta cliccato, il token di autenticazione Fortnite dell’utente può essere sottratto dall’hacker senza che l’utente inserisca alcuna credenziale di accesso. Secondo i ricercatori di Check Point, la vulnerabilità era il risultato di difetti riscontrati in due sottodomini di Epic Games che erano esposti a un reindirizzamento malevolo, consentendo ai token di autenticazione legittimi degli utenti di essere intercettati da un hacker dal sottodominio compromesso.
conclusione
Check Point ha informato Epic Games della vulnerabilità, che ora è stata risolta. Entrambe le aziende consigliano a tutti gli utenti:
- Non scambiare informazioni digitali,
- Adottare pratiche informatiche sicure nel momento dell’interazione online,
- Dubitare della legittimità dei link visualizzati nei forum e nei vari siti web.
Al fine di ridurre al minimo la minaccia di un attacco che sfrutta vulnerabilità come questa, gli utenti dovrebbero abilitare l’autenticazione a due fattori, assicurandosi che, quando si accede al proprio account da un nuovo dispositivo, venga inserito un codice di sicurezza inviato all’indirizzo e-mail dell’utente. I genitori dovrebbero istruire i propri figli sulle minacce di frode online.
Un’analisi tecnica completa di questa vulnerabilità è disponibile sul blog Check Point Research a questo link.