Mundo Tech

Falha no sistema de login permitia que invasores roubassem contas de Fortnite




Desde que se tornou o jogo mais popular do mundo, Fortnite é visto como um ótimo alvo para golpes e fraudes, e a Epic aparentemente precisa melhorar bastante o sistema de segurança do jogo. De acordo com uma descoberta feita pela empresa de segurança Check Point, existe um trio de vulnerabilidades na infraestrutura web do jogo que poderia ser usada por invasores para roubar as contas dos jogadores.

A falha foi encontrada no sistema de Single Sign-On do jogo, que permite logar em diversos serviços com uma única conta (como usar seu login no Facebook para entrar no Instagram, por exemplo) e, segundo Oded Vanunu, chefe do setor de pesquisa em vulnerabilidade de produtos da Check Point, não apenas Fortnite como diversos outros sites e serviços que usam esse tipo de login possuem erros na implementação do sistema de autenticação para essas contas. Criminosos podem usá-los para invadir sua conta no jogo e, a partir dela, invadir todas as contas onde aquele login é usado.

As três falhas encontradas pelos analistas da Check Point (uma falha no endereçamento da URL da Epic Games, um problema com o redirecionamento de página durante o proceso de Single Sign-On, e uma falha de processo no banco de dados do jogo) podem ser combinadas por um invasor para o token de acesso dos usuários e assumir o controle de qualquer conta do jogo.

Segundo Vanunu, um invasor poderia combinar essas falhas do seguinte modo: primeiro, usando o problema na URL da Epic Games para criar um link malicioso que chamasse a atenção dos jogadores, como uma promoção para ganhar alguns itens do jogo. Por conta da falha no sistema de URL, esse link malicioso pareceria estar direcionando para o endereço real da Epic Games, o que faria com que os jogadores acreditassem se tratar de uma promoção real. A partir daí, caso os usuários clicassem no link, seria possível utilizar a falha no sistema de Single Sign-On do jogo (não funcionaria com exatamente todos os usuários, mas como Fortnite permite o login através do Facebook, Google, PNS, Xbox Live e pela conta da Nintendo, ainda que não sejam todo uma grande parte dos jogadores seriam afetados) para ter acesso ao token de autenticação do jogador, e a partir daí usar a falha no banco de dados do jogo para monitorar tudo o que é falado no microfone ou nos chats atrás de informações pessoais que podem ser usadas para chantagem, ou então utilizar o cartão de crédito vinculado à conta para comprar V-bucks (a moeda própria do jogo) e revendê-las por um preço menor do que o pedido pela Epic, em um esquema de lavagem de dinheiro que tem prosperado em Fortnite.

A Check Point alertou a Epic dessa falha em novembro, e a empresa já afirma que o problema está corrigido. Apesar disso, não dá para saber se algum invasor chegou a utilizar esse método — o mesmo utilizado por criminosos para roubar 30 milhões de contas do Facebook em setembro — para ter acesso às contas dos jogadores de Fortnite.

Fonte: Canaltech

Continua após a publicidade..