حفره امنیتی در فورتنایت به هکرها اجازه دسترسی به اطلاعات کاربران را میداد
محققان Check Point چندین آسیبپذیری امنیتی را در Fortnite بازی بتل رویال محبوب آنلاین کشف کردهاند که یکی از آنها به مهاجمین از راه دور این امکان را میداد که به طور کامل به اطلاعات بازیکنان دسترسی داشته باشند، برای اینکار تنها کافی بود با فریب دادن کاربر آنها را ترغیب به کلیک کردن بر روی لینک موردنظرشان کنند.
تصاحب کامل اکانت پلیرها میتواند چیزی شبیه به یک کابوس باشد، به خصوص برای کاربران این بازی محبوب که تعداد آنها کم نیست و چیزی در حدود 80 میلیون نفر در سراسر جهان کاربر آن هستند و حتی اکانتی از آن در eBay به قیمتی بالای 50000 دلار فروخته شده است.
بازی فورتنایت این اجازه را به کاربران میدهد که با استفاده از اکانتهای شخص ثالث مانند فیسبوک، گوگل، Xbox و پلیاستیشن وارد بازی شود. مشکلات امنیتی نظیر تزریق اسکریتپ از طریق وبگاه (XSS) و مشکلات متصل کردن کاربران به لینکهای مخرب در بازی اپیک گیمز به مهاجمین این اجازه را میداد که به راحتی اطلاعات کاربران این بازی را به سرقت ببرند. پس از دسترسی، مهاجمین میتوانستند به اطلاعات شخصی کاربران دسترسی داشته باشند، ارزهای مجازی بازی را خریداری کنند و تجهیزات درون بازی را بخرند و آنها را به اکانتهای دیگری که توسط هکرها کنترل میشود، منتقل کرده و این اکانتها را با امکانات ویژه به کاربران دیگر بفروشند.
محققان Check Point در وبلاگ خود توضیح دادهاند که در کنار محبوبیت تکرارنشدنی که بازی فورتنایت دارد، حفرههای امنیتی آن بسیار خطرناک بودند. مهاجمین میتوانستند به تمام مخاطبین قربانیها و مکالمات آنها با یکدیگر در محیط بازی دسترسی داشته باشند که این موضوع میتوانست حریم شخصی بازیکنان را به شدت تحت تأثیر قرار دهد. تزریق SQL (یا تزریق به پایگاه داده که یک نقض امنیتی است) در یک بازی اپیک گیمز وجود داشت که اگر استخراج میشد، مهاجمین میتوانستند تشخیص دهند که چه نسخهای از پایگاه داده MySQL استفاده شده است.
محققان چک پوینت توسعه دهندگان اپیک گیمز را از ضعفهای امنیتی فوتنایت آگاه کرده بودند و آنها در اواسط دسامبر این مشکلات را برطرف کردند. با این حال، هر دو شرکت به کاربران بازی فورتنایت توصیه کردهاند که به هیچ عنوان لینکهای مشکوک را باز نکنند و نسبت به اشتراک گذاری اطلاعات خود در این بازی و در انجمن آن دقت کنند. علاوهبراین توصیه شده است که اهراز هویت 2 مرحلهای این بازی فعال شود و کاربران برای ورود به بازای کد امنیتی که از طریق ایمیل دریافت میکنند را وارد کنند.
