Pod koniec 2018 r. Firma Check Point Research odkryła lukę w zabezpieczeniach Fortnite. Luka ta umożliwiła hakerom łatwe zainicjowanie programu phishingowego poprzez wysyłanie linków użytkowników, które wyglądały jak strony logowania, ale faktycznie zebrały konta użytkowników.

CPR powiadomił Epic Games o usterce w listopadzie, a Epic załatał lukę kilka tygodni później. Jednak w tym czasie - i przez pewien czas zanim CPR wysłało powiadomienie - użytkownicy Fortnite byli poważnie zagrożeni oszustwem.

CPR szczegółowo opisuje działanie exploita w bardzo technicznym wyjaśnieniu na swoim blogu. Istota tego procesu była jednak dość prosta:

• Hakerzy wykorzystują system jednokrotnego logowania, z którego korzysta Fortnite, który pozwala użytkownikowi zalogować się do Fortnite przy użyciu innych kont, takich jak Facebook, Nintendo, Google+ itp.
• Hakerzy następnie wysyłają link do użytkownika, który wygląda na legalny. Jednak faktycznie przekierowuje ich przez inny serwer, który usuwa dane logowania.
• Ponieważ link wyglądał na prawidłowy, a użytkownik nie musiał wprowadzać swoich danych uwierzytelniających, użytkownik uważa, że ​​nic się nie wydarzyło.
• Hakerzy uzyskują dane logowania, przejmują konto i wykorzystują dołączone opcje płatności, aby dokonywać nieuczciwych transakcji.

WedługThe Verge, hakerzy, którzy wykorzystali ten exploit, kupiliby walutę Fortnite w grze (V-Bucks) za pomocą przechwyconych kont, podarowali te V-Bucks na inne konto, a następnie sprzedali V-Bucks po obniżonej cenie innym graczom w ciemnej sieci .

Fortnite zarabia miliardy dolarów na sprzedaży w grze, więc ta nieuczciwa działalność może być bardzo dochodowa.

Epic Games powiedział w oświadczeniu: „Zostaliśmy poinformowani o lukach, które wkrótce zostały usunięte. Dziękujemy Check Point za zwrócenie nam na to uwagi. Jak zawsze zachęcamy graczy do ochrony swoich kont poprzez nieużywanie haseł i używanie silnych haseł oraz nieprzekazywanie informacji o kontach innym osobom. ”

Chociaż ta luka została już załatana, powinno to przypominać wszystkim o korzystaniu z silnych haseł, częstym ich zmienianiu i wprowadzaniu poświadczeń tylko na wiarygodnych stronach internetowych.