Un agujero en Fortnite permitía el robo de cuentas con solo pulsar un enlace

Alejo I
3 15 24
Noticias » Tecnología
La creciente popularidad de los juegos multijugador online, con los battle royale a la cabeza, es un buen aliciente para que ciberdelincuentes de diverso pelaje estimulen su agudeza en busca de debilidades que les permitan usurpar cuentas y datos personales, robar divisas virtuales o reales e incluso espiar sus conversaciones en busca de información potencialmente valiosa. Y no es algo nuevo, puesto que estas situaciones nos retrotraen como mínimo a la juventud de WoW.

Ahora, la firma de seguridad Check Point revela que varias vulnerabilidades en Fortnite dejaban la puerta abierta a posibles atacantes interesados en realizar todo tipo de fechorías con la cuenta de un usuario. Y aunque el ataque comenzaba con el típico phising, esta vez no se puede atribuir el riesgo a la falta de prudencia de los jugadores, sino a problemas tecnológicos en manos de Epic.


Según señala Check Point, el proceso arrancaba con un intento de phising solicitando al jugador que accediera a su cuenta usando un medio como las interconexiones de Google y Facebook. Lo interesante del método es que no utilizaba una página dudosa en sí misma, sino que sacaba partido al hecho de que el dominio oficial accounts.epicgames.com no había sido validado y por tanto era "susceptible a un redireccionamiento malicioso".

Este subdominio, asimismo, podía ser objeto de un ataque XSS de JavaScript mediante el cual se le podía hacer solicitar el token de autenticación. Una vez reenviado no llegaba al subdominio legítimo sino al creado por el atacante, que podía atrapar esta información y tomar el control de la cuenta del usuario.


El resultado de todo esto es que, de acuerdo con la descripción facilitada por Check Point, "para que un ataque sea exitoso, todo lo que tiene que hacer la víctima es hacer clic en el link malicioso. [...] Una vez pinchado, ni siquiera hace falta que el usuario introduzca credencial alguna".

El descubrimiento de estas vulnerabilidades se produjo en el mes de noviembre. Check Point contactó con Epic para poner a los desarrolladores al corriente de la situación, que fue resuelta en enero con el lanzamiento de un parche. Por el momento se desconoce si llegaron a ser explotadas por terceros o si por el contrario fueron detectadas a tiempo.
24 comentarios
  1. Me huele a demanda [fiu]
  2. Ese asunto llevo oyendolo desde hace unos dias, ya que en el directo de cierto elemento que no voy a nombrar, su colaborador dijo que su cuenta de Epic alguien habia restaurado contraseña y llevado a Turquia y entonces empezo la peña a contar casos.
    Dicho de otro modo, si quieren ser Steam, que comienzen por aumentar la seguridad de la plataforma.
  3. espero que estén atentos a esta noticia los padres de aquí
  4. silfredo escribió:Ese asunto llevo oyendolo desde hace unos dias, ya que en el directo de cierto elemento que no voy a nombrar, su colaborador dijo que su cuenta de Epic alguien habia restaurado contraseña y llevado a Turquia y entonces empezo la peña a contar casos.
    Dicho de otro modo, si quieren ser Steam, que comienzen por aumentar la seguridad de la plataforma.

    Totalmente de acuerdo, mi ya eliminada cuenta de Epic fue pwned en 2016, dan pena en cuanto a seguridad.
  5. La que se va liar pollito
  6. Chorprechita
  7. Madre mía, acabo de comentar el Explorer de Android por algo similar... Ya no tengo palabras,o son una panda de inútiles o existe demasiado talento suelto.
  8. ¿Cuentas compaletas? uff chungo.

    A mi me pasa con pishing desde que tengo un iapd,correos con compras ficticios todas las semanas.
  9. Este agujero + ratboys = family financial disaster
  10. kai_dranzer20 escribió:espero que estén atentos a esta noticia los padres de aquí


    No creo que todos los padres del mundo que son los afectados estén atentos. Si dijeses otro juego serían parte de la gente y ningún niño (porque todos están en el Fortnite), pero con este juego afecta a la humanidad, sólo se salvan los países subdesarrollados que no tienen Internet.
Ver más comentarios »