Check Point Research a découvert une faille de sécurité fortnite vers la fin de 2018. Cette vulnérabilité permettait aux pirates d’initier facilement un stratagème de phishing en envoyant aux utilisateurs des liens qui ressemblaient à des pages de connexion mais qui exploitaient en réalité leurs comptes.

Le CP a informé Epic Games de la faille en novembre et Epic a corrigé la vulnérabilité plusieurs semaines plus tard. Cependant, pendant ce temps - et quelque temps avant que le CPR envoie l’avis - les utilisateurs de Fortnite étaient exposés à un risque de fraude important.

CPR détaille exactement comment l'exploit a fonctionné dans une explication très technique sur son blog. Cependant, l'essentiel du processus était assez simple:

• Les pirates exploitent le système d'authentification unique utilisé par Fortnite, qui permet à un utilisateur de se connecter à Fortnite en utilisant d'autres comptes, tels que Facebook, Nintendo, Google+, etc.
• Les pirates informatiques envoient ensuite un lien à un utilisateur qui a l'air légitime. Cependant, il les redirige en réalité via un serveur différent qui récupère leurs informations de connexion.
• Étant donné que le lien avait l'air légitime et que l'utilisateur n'était pas obligé de saisir ses informations d'identification, il ne se passait rien.
• Les pirates obtiennent les informations de connexion, dépassent le compte et utilisent les options de paiement attachées pour effectuer des transactions frauduleuses.

SelonLe bord, les pirates qui ont utilisé cet exploit achèteraient la monnaie du jeu de Fortnite (V-Bucks) en utilisant les comptes piratés, offriraient ces V-Bucks à un autre compte, puis vendraient le V-Bucks à un tarif réduit à d'autres joueurs sur le web sombre .

Fortnite tire des milliards de dollars de ses ventes dans le jeu. Cette activité frauduleuse pourrait donc être très lucrative.

Epic Games a déclaré dans un communiqué: «Nous avons été informés de ces vulnérabilités et celles-ci ont rapidement été corrigées. Nous remercions Check Point d’avoir porté cela à notre attention. Comme toujours, nous encourageons les joueurs à protéger leurs comptes en ne réutilisant pas les mots de passe, en utilisant des mots de passe forts, et en ne partageant pas les informations de compte avec les autres. "

Bien que cette vulnérabilité soit maintenant corrigée, cela devrait être un rappel à tous d'utiliser des mots de passe forts, de les changer souvent et de ne saisir que les informations d'identification sur des sites Web fiables.