Nul
Afbeelding: Check Point
Epic Games, de makers van de waanzinnig populaire game Fortnite stilte hebben gepatcht een kwetsbaarheid op hun infrastructuur dat zou hebben toegestaan dat hackers om toegang te krijgen tot de accounts van de gebruikers met een ongelooflijk gemak.
De kwetsbaarheid werd ontdekt door de onderzoekers van de veiligheid van de Israëlische cyber-beveiligingsbedrijf Check Point, die meldde dat het probleem particulier met de game maker afgelopen jaar.
“We verslag van begin November, en we hebben gemerkt dat werd vastgesteld op Eind November,” Oded Vanunu, een van de Check Point security onderzoekers vertelde ZDNet via e-mail.
“Ze niet met ons communiceren [een] ETA of de voortgang van de correcties,” voegde hij eraan toe, in betrekking tot de reactie van de organisatie naar het bug rapport.
De kwetsbaarheid was eigenlijk een combinatie van meerdere bugs in verschillende delen van de Epic Games infrastructuur, sommige van hen zelfs niet Fortnite-gerelateerd.
Een succesvolle aanval zou hebben gebruikt op de gebruikers die klikken op een verkeerd Epic Games login link, echter de link dat het formaat niet zou hebben deed veel zaken met minder technische gebruikers, wie zou niet in staat is geweest om ter plaatse de verkeerde parameters.
De aanval werkte vooral omdat het Check Point team identificeerde een weg te kapen van de SSO (single-sign-on) token die wordt uitgewisseld tussen SSO-aanbieders, zoals Facebook, Google, PlayStation, Xbox of Nintendo, en de Epic Games server.
Onderzoekers gekaapt de login-procedure en de gebruiker omgeleid naar een andere Epic Games server (voor het tonen van Unreal Tournament 2004 statistieken), waar ze misbruik wordt gemaakt van een cross-site scripting (XSS) lek record het SSO-token, de rol die ze nodig zou hebben gehad om kapen van een gebruiker account, onderzoekers toegelicht in een verslag dat zal worden vrijgegeven later op de dag.
Afbeelding: Check Point
Wanneer ZDNet vroeg Vanunu over het benutten van de complexiteit, de onderzoeker zei dat de aanval zou gemakkelijk zijn geweest om af te trekken.
“Niet helemaal, zeer eenvoudig uit te voeren in de achtergrond,” Vanunu ons verteld. “Token stelen is één van de opkomende aanval vectoren….iedereen is voor de authenticatie tokens & exploitatie van toepassing logica.”
“Cyber crime organisaties zijn krachtig staten, en er is een hoop geld met Fortnite spel logica,” Vanunu zei. “Er zijn tal van oplichting en uitbuiting die er al zijn gepubliceerd. Voor zover ik weet, niemand toonde al een voorbeeld van exploitatie van stroom. We zijn hier om te bewijzen & bewustwording, aangezien de meeste van de spelers zijn kinderen!”
Vanunu ‘ s waarschuwing met betrekking tot een toename in Fortnite verband met cybercriminaliteit activiteit is gerechtvaardigd. In juni 2018, werd gemeld dat meer dan negen miljoen Fortnite accounts had gehackt.
Fortnite is in-game valuta V-Dollar is bekend om te worden gebruikt voor het witwassen van real-world geld voor cyber-criminelen, de voortzetting van een bekende trend in de industrie. En het is niet alleen cyber-criminele organisaties. Jongeren nemen hun primeurs op de hacking scene door het stelen van elkaars accounts.
In veel gevallen, cyber-criminelen niet eens de moeite met het hacken van Fortnite accounts, als alles wat ze willen is dat spelers geld. Fortnite verband met oplichting zijn net zo gangbaar, met oplichters lokken gebruikers in het kopen van nep-Fortnite-gerelateerde artefacten of in-game valuta.
Een ZeroFOX rapport gepubliceerd in oktober 2018 bleek dat het bedrijf gedetecteerd ongeveer 53,000 Fortnite oplichting in de loop van de vorige maand.
Als voor Check Point is een bug report, Vanunu zei dat de game maker, die opgespaarde $3 miljard winst vorig jaar, niet voor een bug bounty beloning, maar het onderzoek was niet geïnteresseerd hoe dan ook.
“Dit is niet ons doel,” de onderzoeker vertelde ZDNet. “Voor een voorbeeld van onze laatste publicatie met DJI ze boden ons rond 5K$ beloning dat we niet nemen.”
Fortnite, het spel, heeft een geschatte userbase graaf van bijna 125 miljoen gamers. Het spel is verantwoordelijk voor de helft van Epic Games’ geschatte waarde.
Meer cybersecurity nieuws:
Nieuwe Ethereum versie uitgesteld na de ontdekking van ernstige security flawA security conference zal u laten hacken van een Tesla auto en verdien cash prijzen
Liberiaanse ISP klaagt concurrent voor het inhuren van hacker aanvallen zijn networkPoC voor Windows VCF zero-day online gepubliceerd
SCP-implementaties beïnvloed door de 36-jaar-oude beveiliging flawsWordPress te geven waarschuwingen op servers met verouderde PHP-versies
Senatoren oproep voor onderzoek van de telefoon-bedrijven voor de verkoop van locatie gegevens CNETPhishing en spearphishing: Een cheat sheet for business professionals TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0