Beveiligingsbedrijf: Fortnite-kwetsbaarheid gaf derden toegang tot accounts

Het beveiligingsbedrijf Check Point meldt dat het meerdere kwetsbaarheden voor Fortnite heeft ontdekt, waarmee kwaadwillenden zich relatief eenvoudig toegang konden verschaffen tot de spelersaccounts en deze konden overnemen. De kwetsbaarheden zouden inmiddels gedicht zijn.

Check Point meldt dat er sprake was van meerdere kwetsbaarheden in het onlineplatform van Epic Games en daarbuiten. Daarmee konden kwaadwillenden niet alleen de accounts van spelers overnemen, maar ook hun persoonlijke accountinformatie inzien, V-bucks kopen en voicechatconversaties opnemen.

Het beveiligingsbedrijf stelt in een e-mail aan ZDNet dat het begin november bij Epic Games melding maakte van de gevonden kwetsbaarheden. Medewerkers van Check Point merkten eind november dat de kwetsbaarheden waren verdwenen, maar daarbij hield het gamebedrijf Check Point niet op de hoogte van het proces van het oplossen van de kwetsbaarheden. Epic Games heeft nog niet gereageerd op de onthulling van het beveiligingsbedrijf.

De hacks waren mogelijk door een kwetsbaarheid in enkele subdomeinen van Epic Games, zoals http://ut2004stats.epicgames.com. Hierdoor kon een xss-aanval worden uitgevoerd, waarbij de gebruiker enkel op een link hoefde te klikken die door de kwaadwillende naar hem zou worden gestuurd. Eenmaal daarop geklikt, zouden de Fortnite-gebruikersnaam en het wachtwoord direct doorgestuurd worden. Xss, of cross-site scripting, is aan te pakken via csp, dat ervoor zorgt dat alleen content van vertrouwde locaties op een website ingeladen kan worden.

De medewerkers van Check Point vonden een manier om het sso-token te hacken, dat bijvoorbeeld wordt uitgewisseld tussen providers als Google, Facebook of Nintendo en de server van Epic Games. De onderzoekers kraakten de loginprocedure en wisten een xss-kwetsbaarheid uit te buiten en de sso-token op te slaan. Daarmee kregen ze de gegevens in handen om in te loggen op de accounts van spelers.

Het loginproces was te hacken doordat Epic Games bij het klikken op 'sign in' een url aanmaakt met een redirectedUrl-parameter. Deze url wordt later gebruikt om de speler terug te leiden naar zijn accountpagina. De onderzoekers ontdekten dat het mogelijk was om deze url te manipuleren en zodoende spelers door te sturen naar een willekeurige pagina in het epicgames.com-domein. Zodoende konden spelers ook naar het domein ut2004stats.epicgames.com met de xss-payload worden doorgestuurd.

Door Joris Jansen

Redacteur

Feedback • 16-01-2019 14:30 31

16-01-2019 • 14:30

31

Lees meer

Fortnite

geen prijs bekend

2.5 van 5 sterren
AC3-remaster, Hellblade, Dead by Daylight en meer games komen naar Switch
AC3-remaster, Hellblade, Dead by Daylight en meer games komen naar Switch Nieuws van 14 februari 2019
Fortnite laat gebruikers accounts samenvoegen
Fortnite laat gebruikers accounts samenvoegen Nieuws van 9 februari 2019
Fortnite 7.30 voor iOS en Android ondersteunt bluetoothcontrollers
Fortnite 7.30 voor iOS en Android ondersteunt bluetoothcontrollers Nieuws van 30 januari 2019
Gerucht: Fortnite krijgt een toeschouwermodus
Gerucht: Fortnite krijgt een toeschouwermodus Nieuws van 25 januari 2019
Android-bestandsbeheerder ES File Explorer liet data van telefoon uitlekken
Android-bestandsbeheerder ES File Explorer liet data van telefoon uitlekken Nieuws van 17 januari 2019
Fortnite Battle Royale bereikt 200 miljoen spelers
Fortnite Battle Royale bereikt 200 miljoen spelers Nieuws van 27 november 2018
Android-versie Fortnite had kwetsbaarheid voor 'man-in-the-disk'-aanval
Android-versie Fortnite had kwetsbaarheid voor 'man-in-the-disk'-aanval Nieuws van 26 augustus 2018
Fortnite beloont aanzetten tweetrapsauthenticatie met gratis dansje
Fortnite beloont aanzetten tweetrapsauthenticatie met gratis dansje Nieuws van 24 augustus 2018
Meer producten en artikelen
Beveiliging en antivirus Games Epic Games

Reacties (31)

-Moderatie-faq
31
30
12
1
0
15
Wijzig sortering

Sorteer op:

Weergave:
xoniq 16 januari 2019 14:35
Een Xss is wel heel cheap... Dat is de meest voorkomende 'hack'-poging die zeer goed op te lossen is. Zoiets zou bij ontwikkeling al meegnomen moeten zijn.
Caayn @xoniq16 januari 2019 15:03
Een XSS patch doorvoeren en erop testen betekend niet dat je alsnog niet vatbaar bent voor een XSS aanval dankzij, bijvoorbeeld, een toekomstige wijziging. Vaak zie je bij (grote) producten en zelfs frameworks dat ze meerdere XSS patches krijgen.

Kijk bijvoorbeeld naar Microsoft's TFS & Azure Devops (cloud tegenhanger), een product dat zelfs deze week nog een nieuwe patch heeft gekregen tegen een mogelijke XSS exploit. Ondanks dat er al meerdere XSS patches zijn geweest in het verleden.
https://portal.msrc.micro...ce/advisory/CVE-2019-0646
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0646

[Reactie gewijzigd door Caayn op 22 juli 2024 23:11]

Verwijderd @xoniq16 januari 2019 14:48
Schijnbaar is het niet eenvoudig op te lossen als je kijkt naar de hoeveelheden (populaire)websites met een XSS vulnerability. De primaire domeinen hebben dit altijd wel voor elkaar, maar via buggy subdomeinen kan je met deze kwetsbaarheid altijd wel naar het primaire domein.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:11]

xoniq @Verwijderd16 januari 2019 14:51
Het is prima eenvoudig op te lossen, in de meeste gevallen. XSS is vaak een stukje lazyness, of er vanuit gaan dat iemand iets niet op een bepaalde manier gebruikt.
mobstaa @xoniq16 januari 2019 15:00
Veel up-to-date web frameworks lossen dit zelf al op. Mogelijk lazyness inderdaad of gewoon onwetendheid door het displayen van userinput.
Rob Coops @xoniq16 januari 2019 15:12
In dit geval is de ut2004 (of Unreal Tournament 2004) pagina waarschijnlijk niet recent van updates voorzien en heeft het team dat het onderhoud doet aan dit domein simpel weg er al in geen jaren echt aandacht aan besteed (zelfs als ze zouden willen dan nog is het lastig om daar goedkeuring en budget voor te vinden)

Ze vreemd vind ik het dus niet dat het mogelijk is om misbruik te maken van hele oude sites die waarschijnlijk simpel weg nog draaien omdat het hosten van de subdomein te weinig kost om op te vallen in het budget en de servers naast deze site nog tientallen zo niet honderden andere hosten en dus is ook het verkeer en de storage niet direct een probleem wat kosten betreft.

Het klink mij heel erg naar simpel weg oude rommel die nooit is opgeruimd dan naar een design fout of een lui ontwikkelaar.
New Yorker 16 januari 2019 14:41
Ze mogen iets aan die email spam doen.
Iedere keer zijn er login pogingen
Stoelpoot @New Yorker16 januari 2019 15:03
Ik heb liever wel een hoop meldingen van mislukte inlogpogingen, dan geen melding totdat er een slaagt :)
Crashhill 16 januari 2019 15:15
Dit is oud nieuws, @Deluge wist dit 4 maanden geleden al.
Toch @Vuvuzela
Fruitschaal
@Crashhill16 januari 2019 15:38
Ja. Proefondervindelijk geleerd.
Frituurbaas 16 januari 2019 15:36
Ik denk dat er wel wat developers met het schaamrood op hun kaken op het matje zijn geroepen bij Epic.
Fire69 16 januari 2019 15:48
Was je dan ook kwetsbaar als je geen Google/Facebook gebruikt als SSO? En wat als je MFA hebt aanstaan?
Verwijderd 16 januari 2019 14:54
Ik vraag me af waarom Check Point dit doet, Willen ze puur de credits voor het ontdekken? Willen ze een reward? Het zal ze wel flink dwars hebben gezeten dat ze geen bericht kregen van Epic Games, nu hebben ze sowieso geen reward meer als ze dat zouden krijgen hiervoor. Wel triest dat ze melding krijgen, dit oplossen en vervolgens niet terugkoppelen. Als het zo moet gaan wil je geen ene site/app meer checken op kwetsbaarheden.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:11]

Stoelpoot @Verwijderd16 januari 2019 15:05
Dat, of gewoon de openheid waarborgen. Wat ik begrijp is Epic niet naar buiten gekomen hiermee (anders was dit niet zo nieuwswaardig), dus doet Checkpoint dit zodat gebruikers weten dat dit soort kwetsbaarheden bestaan.
cowbalt @Verwijderd16 januari 2019 15:16
Ik denk dat het hier niet echt om rewards gaat. Misschien moet je het even omdraaien.
Wees blij dat een organisatie als Check Point dit heeft ontdekt. Als de kwaadwillenden dit hadden ontdekt, hadden er nu wellicht 80 mln records (waarschijnlijk inclusief die van je zelf?) op straat gelegen.
Als individu zou je wellicht een bug bounty kunnen krijgen als je zo'n ontdekking doet, mits ze zo'n programma hanteren natuurlijk.
Verwijderd @cowbalt16 januari 2019 15:31
Ik duidde meer op dat zij dit nu in het nieuws hebben gebracht i.p.v. dat ze dit onderzoek hebben gedaan.
coptician @Verwijderd16 januari 2019 16:59
Volgens mij is het doel hiervan om aandacht in de media te krijgen zodat bedrijven bekend worden met dit bedrijf, en zo omzet te genereren.

Ik vind het geen slecht idee om zo reclame voor jezelf te maken.
Martinspire
16 januari 2019 14:36
Dus ze moesten een server hacken binnen het epicgames.com domein, succesvol meerdere mensen via phishing misleiden en konden daarbij (zo lijkt het) geen wachtwoorden of e-mailadressen aanpassen. Dit een grote hack noemen gaat dan wel wat ver, al is het slordig dat ze wat oude domeinen op onveilige servers hebben draaien.

Edit: ah staat niet in het Tweakers artikel maar wel bij de bron

[Reactie gewijzigd door Martinspire op 22 juli 2024 23:11]

GoBieN-Be @Martinspire16 januari 2019 14:41
Server hacken staat toch niet in het artikel?
SSO token onderscheppen, URL naar een epic-games domein met XSS crafted code in de parameters doorsturen naar slachtoffer via phishing mail.
Martinspire
@GoBieN-Be16 januari 2019 14:50
Met een token kun je meestal niet veel maar het lijkt erop dat de post-data wordt meegestuurd, want met HTTPS dacht ik juist dat je wachtwoorden niet kon uitlezen.

Verder moeten ze nog steeds die server op het domein van Epic hacken en mensen via phishing misleiden en dat lijkt me voor een grote aanval redelijk kansloos.

[Reactie gewijzigd door Martinspire op 22 juli 2024 23:11]

Verwijderd @Martinspire16 januari 2019 14:45
Ze konden wel de wachtwoorden of e-mailadressen aanpassen. Lees het artikel nog maar een keer.

Een grote hack is relatief.
CykkVii @Verwijderd16 januari 2019 15:00
En dan te bedenken hoeveel mensen hetzelfde wachtwoord gebruiken op hun persoonlijke emailaccount.
cowbalt @Martinspire16 januari 2019 14:51
Sorry, maar hoe je aan een +2 komt is mij een raadsel.
wellicht moet je het research linkje even goed lezen. .

https://research.checkpoint.com/hacking-fortnite/
HooksForFeet 16 januari 2019 14:44
Klinkt allemaal niet heel heftig. Ik denk dat de gemiddelde Fortnite-speler zich meer zorgen maakt om die zwevende ijsbal op het moment. :)
Caelestis 16 januari 2019 15:05
Ok een hoop verhaal over Xss maar er wordt geen woord gerept over het deel
Het loginproces was te hacken doordat Epic Games bij het klikken op 'sign in' een url aanmaakt met een redirectedUrl-parameter. Deze url wordt later gebruikt om de speler terug te leiden naar zijn accountpagina. De onderzoekers ontdekten dat het mogelijk was om deze url te manipuleren en zodoende spelers door te sturen naar een willekeurige pagina in het epicgames.com-domein. Zodoende konden spelers ook naar het domein ut2004stats.epicgames.com met de xss-payload worden doorgestuurd.
De vraag is hoe hebben zij het voor elkaar gekregen om dat url te manipuleren van een gebruiker binnen het epic domein? Dat lijkt mij namelijk de echte smoking gun.
r_AllocStarByte 16 januari 2019 15:48
ut2004, die game heb ik veel gespeeld vroeger. Wel inderdaad stom dat dit gewoon mogelijk is. Zo'n XSS filter zit normaal toch al standaard in een basis WAF ruleset ?? Dus in geval van oops, zou de rule die de XSS matcht een aantal hits moeten geven (403's) en bingo, je weet dat er zeer waarschijnlijk iets lek is. Maar goed in het voorbeeld zou dat niet werken, want de firewall blokkeert de requests dan. Hmm

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq