Desde que se tornou
o jogo mais popular do mundo, Fortnite é
visto como um ótimo alvo para golpes e fraudes, e a Epic aparentemente precisa
melhorar bastante o sistema de segurança do jogo. De acordo com uma descoberta
feita pela empresa de segurança Check Point, existe um trio de vulnerabilidades
na infraestrutura web do jogo que poderia ser usada por invasores para roubar
as contas dos jogadores.
A falha foi encontrada no sistema de
Single Sign-On do jogo, que permite logar em diversos serviços com uma única
conta (como usar seu login no Facebook para entrar no Instagram,
por exemplo) e, segundo Oded Vanunu, chefe do setor de pesquisa em
vulnerabilidade de produtos da Check Point, não apenas Fortnite como diversos outros
sites e serviços que usam esse tipo de login possuem erros na implementação do
sistema de autenticação para essas contas. Criminosos podem usá-los para
invadir sua conta no jogo e, a partir dela, invadir todas as contas onde aquele
login é usado.
As três falhas
encontradas pelos analistas da Check Point (uma falha no endereçamento da URL
da Epic Games, um problema com o redirecionamento de página durante o proceso
de Single Sign-On, e uma falha de processo no banco de dados do jogo) podem ser
combinadas por um invasor para o token de acesso dos usuários e assumir o
controle de qualquer conta do jogo.
Segundo Vanunu, um
invasor poderia combinar essas falhas do seguinte modo: primeiro, usando o
problema na URL da Epic Games para criar um link malicioso que chamasse a
atenção dos jogadores, como uma promoção para ganhar alguns itens do jogo. Por
conta da falha no sistema de URL, esse link malicioso pareceria estar
direcionando para o endereço real da Epic Games, o que faria com que os
jogadores acreditassem se tratar de uma promoção real. A partir daí, caso os
usuários clicassem no link, seria possível utilizar a falha no sistema de
Single Sign-On do jogo (não funcionaria com exatamente todos os usuários, mas
como Fortnite permite o login através do Facebook, Google, PNS, Xbox Live e pela conta da Nintendo,
ainda que não sejam todo uma grande parte dos jogadores seriam afetados) para
ter acesso ao token de autenticação do jogador, e a partir daí usar a falha no
banco de dados do jogo para monitorar tudo o que é falado no microfone ou nos
chats atrás de informações pessoais que podem ser usadas para chantagem, ou
então utilizar o cartão de crédito vinculado à conta para comprar V-bucks (a
moeda própria do jogo) e revendê-las por um preço menor do que o pedido pela
Epic, em um esquema de lavagem de dinheiro que tem prosperado em Fortnite.
A Check Point alertou a Epic dessa
falha em novembro, e a empresa já afirma que o problema está corrigido. Apesar
disso, não dá para saber se algum invasor chegou a utilizar esse método — o
mesmo utilizado por criminosos para roubar 30 milhões de contas do Facebook em
setembro — para ter acesso às contas dos jogadores de Fortnite.
Fonte: Wired
Nenhum comentário:
Postar um comentário