De website van Epic Games had een groot beveiligingsprobleem. Hackers konden via kwetsbaarheden inloggen in de Fortnite-accounts van anderen, zonder een wachtwoord nodig te hebben. Via de toegang was het mogelijk om mee te luisteren naar gesprekken van vrienden en creditcardinformatie te misbruiken.
De kwetsbaarheden werden in november door beveiligingsonderzoekers van Check Point gevonden, meldt CNet. In januari waren de problemen weer opgelost. “We zijn op de hoogte gesteld van de kwetsbaarheden en ze zijn snel opgelost”, aldus Epic Games.
Oude pagina
De kwetsbaarheden zaten in een pagina uit 2004. Het ging om een pagina voor Unreal Tournament, een first-person shooter die in 1998 door Epic Games werd ontwikkeld. De pagina is inmiddels offline gehaald. Eerder liet deze het echter toe om malafide code te injecteren in een website.
De onderzoekers konden code in de website plaatsen om access tokens om te leiden naar hun eigen servers, in plaats van naar die van Epic Games. Daardoor is het mogelijk om in te loggen zonder wachtwoord.
Om de kwetsbaarheid te misbruiken, zou er wel eerst een phishing link verstuurd moeten worden naar slachtoffers op het platform dat ze gebruiken om in te loggen in Fortnite. Dat kan bijvoorbeeld via Facebook, PlayStation en Xbox. Na het klikken op de link wordt de data gestolen en kan de hacker het account in.