Het beveiligingsbedrijf Check Point meldt dat het meerdere kwetsbaarheden voor Fortnite heeft ontdekt, waarmee kwaadwillenden zich relatief eenvoudig toegang konden verschaffen tot de spelersaccounts en deze konden overnemen. De kwetsbaarheden zouden inmiddels gedicht zijn.
Check Point meldt dat er sprake was van meerdere kwetsbaarheden in het onlineplatform van Epic Games en daarbuiten. Daarmee konden kwaadwillenden niet alleen de accounts van spelers overnemen, maar ook hun persoonlijke accountinformatie inzien, V-bucks kopen en voicechatconversaties opnemen.
Het beveiligingsbedrijf stelt in een e-mail aan ZDNet dat het begin november bij Epic Games melding maakte van de gevonden kwetsbaarheden. Medewerkers van Check Point merkten eind november dat de kwetsbaarheden waren verdwenen, maar daarbij hield het gamebedrijf Check Point niet op de hoogte van het proces van het oplossen van de kwetsbaarheden. Epic Games heeft nog niet gereageerd op de onthulling van het beveiligingsbedrijf.
De hacks waren mogelijk door een kwetsbaarheid in enkele subdomeinen van Epic Games, zoals http://ut2004stats.epicgames.com. Hierdoor kon een xss-aanval worden uitgevoerd, waarbij de gebruiker enkel op een link hoefde te klikken die door de kwaadwillende naar hem zou worden gestuurd. Eenmaal daarop geklikt, zouden de Fortnite-gebruikersnaam en het wachtwoord direct doorgestuurd worden. Xss, of cross-site scripting, is aan te pakken via csp, dat ervoor zorgt dat alleen content van vertrouwde locaties op een website ingeladen kan worden.
De medewerkers van Check Point vonden een manier om het sso-token te hacken, dat bijvoorbeeld wordt uitgewisseld tussen providers als Google, Facebook of Nintendo en de server van Epic Games. De onderzoekers kraakten de loginprocedure en wisten een xss-kwetsbaarheid uit te buiten en de sso-token op te slaan. Daarmee kregen ze de gegevens in handen om in te loggen op de accounts van spelers.
Het loginproces was te hacken doordat Epic Games bij het klikken op 'sign in' een url aanmaakt met een redirectedUrl-parameter. Deze url wordt later gebruikt om de speler terug te leiden naar zijn accountpagina. De onderzoekers ontdekten dat het mogelijk was om deze url te manipuleren en zodoende spelers door te sturen naar een willekeurige pagina in het epicgames.com-domein. Zodoende konden spelers ook naar het domein ut2004stats.epicgames.com met de xss-payload worden doorgestuurd.