Hackers konden een tijd gegevens in accounts inzien en in-game valuta van spelers van Fortnite overnemen. Dat blijkt uit onderzoek van cybersecurity-leverancier Check Point Software.
Het lek is inmiddels wel gemeld en gedicht. Toch is waakzaam blijven zeker aan te raden. Hoeveel spelers van de game door de hack zijn getroffen is nog niet bekend.
Het online schietspel Fortnite heeft wereldwijd bijna 80 miljoen spelers. De game is populair op alle spelplatformen, waaronder Android, iOS en pc (via Microsoft Windows). Verder wordt het veel gespeeld op consoles als Xbox One en PlayStation 4. Het spel is ook populair onder professionele gamers die hun sessies online streamen en bij liefhebbers van e-sports.
Toegang
Het beveiligingslek gaf aanvallers volledige toegang tot het account van gebruikers en hun persoonlijke informatie. Hierdoor konden hackers virtuele in-game valuta kopen via de betaalgegevens van slachtoffers. Het lek zorgde ook dat hackers naar de in-game chat van spelers konden luisteren, en zelfs naar omgevingsgeluid en gesprekken in de ruimte waar het spel gespeeld werd.
Fortnite-spelers waren al eerder het doelwit van aanvallen. Gebruikers werden toen misleid om zich aan te melden bij valse websites die hen beloofden om zogenaamde Fortnite’s ‘V-Buck’ in-game valuta te genereren. Dit meest recente beveiligingslek kon echter worden uitgebuit zonder dat spelers hun inloggegevens overhandigden.
Werkwijze
Hackers konden toegang krijgen tot gebruikersaccounts door enkele lekken in de inlogprocedure van gebruikers. Het ging om drie fouten in de webinfrastructuur van de maker van het spel, Epic Games. Hackers konden via het op tokens gebaseerde authenticatieproces in combinatie met single sign-on-systemen zoals Facebook, Google en Xbox, de toegangsreferenties van de speler stelen. Vervolgens konden ze het account eenvoudig overnemen.
Om slachtoffer te worden hoefde een speler alleen maar te klikken op een phishing-link. Die link was afkomstig van een domein van Epic Games, maar werd verzonden door de hacker. Eenmaal aangeklikt, kon de hacker het Fortnite-authenticatietoken van de gebruiker bemachtigen zonder dat het slachtoffer inloggegevens hoefde in te voeren.
Volgens de onderzoekers is dit beveiligingslek ontstaan door fouten in twee subdomeinen van Epic Games die vatbaar waren voor dergelijke kwaadaardige omleidingen. Daardoor konden legitieme authenticatietokens van gebruikers worden onderschept door de hacker.
Kinderen
“Fortnite is momenteel een van de populairste games op de markt en wordt voornamelijk door kinderen gespeeld. De beveiligingslekken boden de mogelijkheid tot een grootschalige inbreuk op hun privacy”, zegt Oded Vanunu, Head of Products Vulnerability Research bij Check Point.
“Samen met de lekken die we onlangs hebben aangetroffen op platformen van drone-fabrikant DJI, toont dit aan hoe vatbaar cloud-applicaties zijn voor aanvallen en inbreuken. Deze platformen zijn steeds vaker het doelwit van hackers vanwege de enorme hoeveelheden gevoelige klantgegevens die ze bevatten. Het verplichten van twee-factor-authenticatie kan deze kwetsbaarheid voor overname van accounts verminderen.”
Epic Games is inmiddels op de hoogte van het beveiligingslek. Inmiddels is het opgelost. Beide partijen adviseren alle gebruikers waakzaam te blijven bij het digitaal uitwisselen van informatie en veilige cybergewoonten aan te houden bij online contact met anderen. Gebruikers moeten daarnaast ook de legitimiteit van links op gebruikersfora en websites in twijfel trekken.
Twee-factor-authenticatie
De kans om slachtoffer te worden van een dergelijke aanval kan worden verkleind als gebruikers twee-factor-authenticatie inschakelen. De gebruiker moet dan tijdens het inloggen (op een ander apparaat) een beveiligingscode invoeren die wordt verstuurd naar het aan het account gekoppelde e-mailadres.
Het is ook belangrijk dat ouders hun kinderen bewust maken van de dreiging van online fraude. Ze moeten hen waarschuwen dat cybercriminelen er alles aan zullen doen om toegang te krijgen tot persoonlijke en financiële gegevens die bewaard worden in hun online account.
Organisaties moeten daarnaast zelf regelmatig grondige controles uitvoeren op hun IT-infrastructuur. Alleen zo verzekeren zij zich ervan dat ze geen verouderde en ongebruikte sites of online toegangspunten hebben. Daarnaast is het een goede gewoonte om verouderde websites of subdomeinen te controleren die mogelijk nog online zijn maar niet meer worden gebruikt.
