Une vulnérabilité de Fortnite laissait les hackers prendre le contrôle des comptes utilisateurs

Par

le

Un bug majeur dans le jeu Fortnite a permis aux hackers de prendre le contrôle de plusieurs millions de comptes utilisateurs.

Un bug de sécurité Fortnite a permis à des pirates d’accéder à des comptes d’utilisateurs après avoir cliqué sur un lien suspect leur ayant été envoyé. Des chercheurs de Check Point Research ont découvert la faille et ont notifié Epic Games en novembre, qui a ensuite corrigé la vulnérabilité en quelques semaines.

Via un communiqué, Epic Games a déclaré au site The Verge: «Nous avons été informés de ces vulnérabilités et celles-ci ont rapidement été corrigées. Nous remercions Check Point d’avoir porté cela à notre attention. Comme toujours, nous encourageons les joueurs à protéger leurs comptes en ne réutilisant pas les mots de passe, en utilisant des mots de passe forts, et en ne partageant pas les informations de compte avec les autres. « 

Après la prise de contrôle, les attaquants pouvaient potentiellement utiliser les comptes pour acheter et offrir des V-Bucks, la devise du jeu. Étant donné que Fortnite ne permet pas plusieurs connexions sur le même compte, si le pirate est sur le compte de la victime, celle-ci ne peut pas se connecter. Mais Check Point indique dans son rapport que le bug aurait même permis aux pirates d’écouter les conversations en cours de jeu. Check Point a précisé à The Verge que cela ne signifiait pas une écoute indiscrète du joueur piraté, mais que le pirate informatique pouvait se présenter comme la victime et parler aux amis du joueur.

La faiblesse provient du système «single sign-on» (SSO), qui permet de se connecter avec un compte Facebook, Google ou Xbox et Nintendo. Cela conduit à une URL de redirection, que les pirates peuvent exploiter pour rediriger une page Web vulnérable qui vole ensuite le nom d’utilisateur et le mot de passe de la victime. Pour que le piratage fonctionne, l’attaquant envoie un lien malveillant au compte Fortnite de l’utilisateur. Si l’utilisateur clique dessus, avant d’être redirigé vers une page qui lui volera ses informations de connexion.

Même si ce hack a été corrigé, il y a encore beaucoup d’utilisateurs malveillants qui ciblent les comptes Fortnite. Rien que cette semaine, il a été révélé que des programmes de blanchiment d’argent impliquant des informations volées sur des cartes de crédit, utilisées pour acheter V-Bucks, puis revendues aux joueurs à prix réduit via le Dark Web.


Articles recommandés