Los investigadores de Check Point han descubierto mĂșltiples vulnerabilidades de seguridad en Fortnite, un juego de batalla en lĂ­nea muy popular, uno de los cuales podrĂ­a haber permitido a los atacantes remotos tomar las cuentas de los jugadores por completo simplemente engañando a los usuarios para que hagan clic en un enlace insospechado.

Las fallas informadas de Fortnite incluyen una inyecciĂłn de SQL, un error de secuencias de comandos entre sitios (XSS), un problema de omisiĂłn de firewall de la aplicaciĂłn web y, lo mĂĄs importante, una vulnerabilidad de OAuth en la toma de control de la cuenta.

La adquisiciĂłn completa de la cuenta podrĂ­a ser una pesadilla, especialmente para los jugadores de un juego en lĂ­nea tan popular que han jugado 80 millones de usuarios en todo el mundo, y cuando una buena cuenta Fortnite se ha vendido en eBay por mĂĄs de $ 50,000.

El juego Fortnite permite a sus jugadores iniciar sesiĂłn en sus cuentas utilizando proveedores de inicio de sesiĂłn Ășnico (SSO) de terceros, como las cuentas de Facebook, Google, Xbox y PlayStation.

SegĂșn los investigadores, la combinaciĂłn de fallas de secuencias de comandos entre sitios (XSS) y un problema de redireccionamiento malintencionado en los subdominios de Epic Games permitieron a los atacantes robar el token de autenticaciĂłn de los usuarios simplemente engañåndolos para que hagan clic en un enlace web especialmente diseñado.

Una vez comprometido, un atacante puede acceder a la informaciĂłn personal de los jugadores, comprar monedas virtuales en el juego y comprar equipos de juego que luego serĂ­an transferidos a una cuenta separada controlada por el atacante y revendida.



 AcĂĄ hay un video explicativo de como el atacante puede llegar a robar el login de la cuenta objetivo


Ademås de esto, los investigadores también pudieron omitir el sistema de firewall de aplicaciones web BIG-IP Application Security Manager (ASM) utilizado por la infraestructura Fortnite para ejecutar con éxito el ataque de scripts entre sitios contra el proceso de inicio de sesión del usuario.

Los investigadores de Check Point notificaron al desarrollador de Epic Games las vulnerabilidades de Fortnite que la compañía reparó a mediados de diciembre.

Tanto Check Point como Epic Games recomiendan a todos los usuarios de Fortnite que permanezcan atentos mientras intercambian informaciĂłn digitalmente y cuestionan la legitimidad de los enlaces a la informaciĂłn disponible en el Foro de usuarios y otros sitios web de Fortnite.

Para evitar que sus cuentas sean secuestradas, también se recomienda a los jugadores que habiliten la autenticación de dos factores (2FA), lo que les pide a los usuarios que ingresen un código de seguridad enviado a su correo electrónico al iniciar sesión en el juego Fortnite.