Falha em site da criadora de 'Fortnite' permitia invadir contas enviando links aos jogadores
Blog do Altieres Rohr

Falha em site da criadora de 'Fortnite' permitia invadir contas enviando links aos jogadores

  • Compartilhar
  • Compartilhar
  • Compartilhar

Quer receber notíticas em tempo real? Curta o Notícia Plus

A empresa de segurança Check Point descobriu uma brecha no site da Epic Games, criadora do game Fortnite, que permitia que hackers atacassem os jogadores enviando um apenas um link. Esse link, quando clicado, imediatamente repassava credenciais de acesso à conta para o golpista, sem que a vítima tivesse que fornecer o usuário e a senha em uma página falsa.

Em posse da conta, um criminoso pode comprar a moeda do Fortnite, V-Bucks, em nome da vítima. Ele também poderia aplicar golpes nos amigos do jogador, sugerindo que eles instalassem algum programa contaminado, por exemplo. O Fortnite não permite dois acessos simultâneos à mesma conta, no entanto — o que significa que o hacker não conseguiria acessar a conta enquanto o dono a utiliza e vice-versa.

O problema foi encontrado em novembro e corrigido "em algumas semanas" pela Epic Games. Em um comunicado, a criadora do game agradeceu a colaboração da Check Point e destacou que o problema foi solucionado rapidamente.

A vulnerabilidade foi descoberta pelos próprios especialistas da Check Point e não há registro de que ela tenha sido usada por criminosos. O ataque teorizado pela Check Point era possível graças a um conjunto de erros existentes em um site antigo, referente ao jogo Unreal Tournamet, e também no novo sistema de login único da Epic Games. O sistema de login único é aquele que permite que jogadores utilizem contas de outros serviços (como Facebook ou Xbox Live) para conectarem-se ao Fortnite.

O primeiro erro — do site referente ao Unreal Tournament — permitia que um hacker adulterasse a página, inserindo nela códigos de sua preferência. Para isso, o site precisa ser acessado a partir de um link específico.

O segundo problema, no login único, deixava um redirecionamento aberto para qualquer página da Epic Games e também não verificava certos parâmetros do login.

Combinando essas falhas, um hacker poderia enviar um link para a página de login que, quando clicado, redirecionava o jogador para o site do Unreal Tournament. Lá, os códigos definidos pelo hacker eram executados para roubar as credenciais da vítima, autorizando o acesso à conta por outros meios.

Fortnite coloca 100 competidores em uma ilha repleta de armas para lutarem pela sobrevivência. O game pode ser jogado de graça, mas a Epic Games, sua criadora, fatura com a venda da moeda de jogo, V-Bucks.

Jogadores de Fortnite são às vezes vítimas de fraudes prometendo esse dinheiro virtual. Em certos casos, as fraudes podem contaminar o computador dos jogadores com vírus. Jogadores são aconselhados a ter muito cuidado com essas supostas ofertas. A Epic Games também recomenda que a senha de acesso à conta seja forte e não seja compartilhada.

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com