fortnite

Fortnite: Une Faille Permettait l’Usurpation de Compte

Les chercheurs de Check Point ont trouvé plusieurs failles de sécurité dans Fortnite, un jeu de battle royale en ligne très populaire. L’une de ces vulnérabilités permettait de complètement prendre le contrôle d’un compte en poussant le propriétaire du compte à cliquer sur un lien.

Les failles reportées sont: injection SQL, cross-site scripting (XSS), une vulnérabilité dans le pare-feu de l’application web et une vulnérabilité OAuth qui permet l’usurpation de compte.

L’usurpation de compte peut être un cauchemar, surtout quand on se souvient qu’un compte Fortnite a été vendu sur eBay pour plus de $50 000.

Fortnite laisse ses utilisateurs se connecter à leurs comptes en utilisant l’authentification unique (Single Sign-On – SSO) d’un tiers parti comme Facebook, Google, Xbox ou encore PlayStation.

Combinaison de bugs Fortnite

Selon les chercheurs, la combinaison de la faille cross-site scripting (XSS) et le problème de redirection des sous-domaines d’Epic Games permet aux hackers de dérober le token d’authentification de l’utilisateur en faisant ce dernier cliqué sur un lien spécial.

Une fois compromis, le hacker peut accéder aux informations personnelles du joueur, acheter de la monnaie virtuelle et de l’équipement qui sont ensuite transférés vers un autre compte qui appartient au hacker.

Burp Suite

“Les victimes pouvaient remarquer des achats de monnaie virtuelle faits avec leurs cartes bancaires, les hackers transféraient ensuite cette monnaie virtuelle vers un autre compte et la revendait pour de la monnaie réelle,” ont expliqué les chercheurs de Check Point sur leur blog.

Le hacker pouvait même accéder aux contacts et aux conversations de la victime.

Une faille SQL permettait aussi d’identifier la version de MySQL qui était utilisé.

Les chercheurs ont aussi été capable de contourner le pare-feu BIG-IP Application Security Manager (ASM) pour exécuter une attaque XSS (cross-site scripting).

Check Point a averti les développeurs d’Epic Games et ils sont débarrassés de ses vulnérabilités en Décembre 2018.

Check Point et Epic Games recommandent aux utilisateurs de rester vigilant quand ils échangent des informations et de questionner la légitimité des liens disponible sur les Forums et les autres sites Fortnite.

Pour protéger vos comptes, vous devriez activer l’authentification à deux facteurs(2FA).

Si cet article vous a plu, jetez un œil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de
trackback

[…] Nous avions déjà écrit un article concernant cette brèche de sécurité. […]