Un agujero en Fortnite permitía el robo de cuentas con solo pulsar un enlace

Alejo I
La creciente popularidad de los juegos multijugador online, con los battle royale a la cabeza, es un buen aliciente para que ciberdelincuentes de diverso pelaje estimulen su agudeza en busca de debilidades que les permitan usurpar cuentas y datos personales, robar divisas virtuales o reales e incluso espiar sus conversaciones en busca de información potencialmente valiosa. Y no es algo nuevo, puesto que estas situaciones nos retrotraen como mínimo a la juventud de WoW.

Ahora, la firma de seguridad Check Point revela que varias vulnerabilidades en Fortnite dejaban la puerta abierta a posibles atacantes interesados en realizar todo tipo de fechorías con la cuenta de un usuario. Y aunque el ataque comenzaba con el típico phising, esta vez no se puede atribuir el riesgo a la falta de prudencia de los jugadores, sino a problemas tecnológicos en manos de Epic.


Según señala Check Point, el proceso arrancaba con un intento de phising solicitando al jugador que accediera a su cuenta usando un medio como las interconexiones de Google y Facebook. Lo interesante del método es que no utilizaba una página dudosa en sí misma, sino que sacaba partido al hecho de que el dominio oficial accounts.epicgames.com no había sido validado y por tanto era "susceptible a un redireccionamiento malicioso".

Este subdominio, asimismo, podía ser objeto de un ataque XSS de JavaScript mediante el cual se le podía hacer solicitar el token de autenticación. Una vez reenviado no llegaba al subdominio legítimo sino al creado por el atacante, que podía atrapar esta información y tomar el control de la cuenta del usuario.

Imagen

El resultado de todo esto es que, de acuerdo con la descripción facilitada por Check Point, "para que un ataque sea exitoso, todo lo que tiene que hacer la víctima es hacer clic en el link malicioso. [...] Una vez pinchado, ni siquiera hace falta que el usuario introduzca credencial alguna".

El descubrimiento de estas vulnerabilidades se produjo en el mes de noviembre. Check Point contactó con Epic para poner a los desarrolladores al corriente de la situación, que fue resuelta en enero con el lanzamiento de un parche. Por el momento se desconoce si llegaron a ser explotadas por terceros o si por el contrario fueron detectadas a tiempo.
Fuente: Check Point