Las cuentas de todos los usuarios del juego famoso Battle Royale estuvieron en peligro durante un largo periodo de tiempo debido a una gran vulnerabilidad de seguridad de Epic Games que permitía acceso a información personal.
El grupo de investigadores de cyber-seguridad Check Point hizo público el hallazgo de graves vulnerabilidades en el sitio web de Epic Games, desarrolladores del popular videojuego Fortnite.
Las vulnerabilidades permitían acceder a las cuentas de virtualmente cualquier usuario de Fortnite, escuchar sus conversaciones y realizar a compras desde el juego usando la tarjeta de crédito emparejada con la cuenta; todo esto sin siquiera saber la contraseña.
Cabe resaltar que Check Point hizo esta investigación en noviembre del 2018 y gracias a eso, Epic Games pudo tomar cartas en el asunto y el problema fue resuelto en los primeros días del mes de enero del 2019. La empresa también recomienda añadir todos los pasos de seguridad adicionales posibles, los cuales están disponibles para cualquiera que desee utilizarlos.
La vulnerabilidad data del año 2004
Las investigaciones del grupo Check Point dieron con la existencia de una antigua dirección web llamada ut2004stats.epicgames.com, la cual es un remanente de una página de registro para el videojuego Unreal Tournament, el cual Epic Games creó hace mucho tiempo.
Sin entrar en detalles técnicos, era posible inyectar dicha web con un script personalizado para poder acceder a virtualmente cualquier cuenta haciendo uso de tokens de acceso, autorizaciones automatizadas usadas normalmente para, por ejemplo, mantener tu cuenta “logeada” y no tener que escribir la contraseña una y otra vez.
De todas maneras, se requiere que la víctima haga click en un enlace malicioso en alguna de las plataformas en las cuales Fortnite permite iniciar sesión, como Xbox, Google y Facebook para poder, de manera automática, obtener acceso a su cuenta. Según indica Checkpoint, inclusive los antivirus y medidas automáticas contra las cyber-estafas fallarían al detectar este enlace malicioso, al estar contenido dentro de un dominio oficial de Epic Games.
Precedentes de inseguridad
Durante el mes de agosto del año 2018, debido a que Fortnite se instala fuera de la tienda de aplicaciones oficial de Android, personas malintencionadas crearon una gran cantidad de aplicaciones falsas que instalaban software perjudicial en tu teléfono celular.
Un objetivo lógico
Recordemos que Fortnite es un fenómeno comercial alimentado principalmente por las tarjetas de crédito de millones de -en su mayoría- menores de edad. Durante el 2018 tuvo casi 80 millones de usuarios alrededor del mundo y generó literalmente miles de millones de dólares. Es totalmente lógico que cibercriminales vuelquen su atención en algo potencialmente tan explotable por su rentabilidad y sus inocentes usuarios.
Sobre Fortnite
Fortnite se encuentra disponible de manera gratuita para PC, Xbox One, PlayStation 4, Nintendo Switch y teléfonos con sistemas operativo iOS y Android. El videojuego (tal como lo conocemos) ya cumplió un año en el mercado y ha conseguido 1,000 millones de dólares en ganancias gracias a sus microtransacciones. Su salto a la cultura popular lo ha convertido en todo un fenómeno, en el que incluso se ofrecen becas de estudio gracias a tus habilidades en el videojuego.
¡Dale like al fanpage de PROGAMER en Facebook para mantenerte actualizado con las últimas noticias de videojuegos, anime, comics y cultura geek!
Comparte esta noticia