Descubren una vulnerabilidad en Fortnite para robar tu cuenta haciendo click en un enlace

Fortnite se ha convertido en una mina de oro para Epic Games. Sus más de 80 millones de jugadores les han hecho obtener más de 3.000 millones de dólares de beneficio, gracias a estar presente en todas las principales plataformas de juego: PC, PS4, Xbox One, Nintendo Switch, Android o iOS. Sin embargo, una vulnerabilidad ha estado poniendo en riesgo las cuentas de los usuarios.

Check Point descubre cómo robar la cuenta de cualquier persona en Fortnite con hacer click en un enlace

Así lo ha desvelado la empresa de seguridad Check Point. La vulnerabilidad se encuentra presente en el propio momento de inicio de sesión en Fortnite. Esta vulnerabilidad se subdivide en tres, afectando a la infraestructura web de Epic Games, donde los sistemas basados en tokens que permiten acceder con cunetas de Facebook, Google o Xbox, pueden robar las credenciales del usuario y tomar el control de la cuenta de la víctima.

Para caer en la trampa, el usuario tan sólo tiene que hacer click en un enlace de phishing creado a través del dominio de Epic Games mediante dos subdominios susceptibles de redirecciones maliciosas. Ahí, si el usuario usa uno de los servicios externos para acceder a su cuenta, el atacante puede capturar el token de autenticación sin introducir ni siquiera ninguna credencial. En el siguiente vídeo podemos ver cómo funciona.

Activar la verificación en dos pasos te protege de cualquiera de este tipo de ataques

Una vez el hacker tiene el token, puede acceder a la cuenta del usuario y a toda su información personal. También gastarle todos los paVos que tenga en la cuenta y comprar otros usando los métodos de pago que el usuario tenga asociados a ella. También puede escuchar conversaciones dentro del juego añadiéndose como amigo en la cuenta del usuario hackeado, pudiendo oír lo que se dice en casa de la víctima. Básicamente, acceder a toda la información que el usuario va dejando cuando está en el juego.

Hasta ahora, los ataques relacionados con el robo de cuentas de Fortnite utilizaban dominios falsos controlados por hackers, y era el usuario el que tenía que introducir manualmente sus credenciales para que el atacante pudiera acceder a ellas. Sin embargo, con los tokens el usuario no tiene que introducir nada.

Check Point avisó a Epic Games antes de publicar la información, y la vulnerabilidad ya ha sido corregida. Además, Epic Games recuerda a los usuarios que deben activar la verificación en dos pasos para evitar que les roben la cuenta. Gracias a ello, si un atacante consigue obtener el token o las credenciales de acceso a la cuenta, también necesitarán el código que recibimos por SMS cuando iniciamos sesión en un nuevo dispositivo, el cual no tendrán manera de obtener.

Fuente: Check Point | adslzone

- Todos los logos o imagenes mencionados en esta web son propiedad de sus empresas correspondientes -