Se ha
descubierto una brecha de información en el famoso juego multiplataforma
Fornite de Epic Games que afecta a sus usuarios; dejando al descubierto
información que podría ser aprovechada para ganar acceso a las cuentas de los
jugadores donde pueden estar registradas sus tarjetas de crédito, pudiendo así
comprar mejoras del juego y revenderlas.
Para los
que no lo conozcan, Fornite es un juego lanzado por Epic Games en julio de
2017. Inicialmente los jugadores tenían que cooperar online para sobrevivir a
una epidemia de muertos vivientes que intentan conquistar la Tierra.
Posteriormente lanzaron la versión de Battle Royal, que fue la que impulsó este
juego a la fama.
Actualmente
hay más de 200 millones de usuarios registrados y se juegan cerca de 80
millones de partidas al mes.
Desde hace
un tiempo se están detectando ataques de phishing hacia los jugadores de
Fornite, pero los investigadores Alon Boxiner, Eran Vaknin y Oded Vanunu de la
empresa Check Point decidieron buscar una alternativa más “sofisticada y
siniestra” como describen ellos.
A raíz del
descubrimiento de una vulnerabilidad XSS en uno de los subdominios de Epic
Games, les fue posible conseguir las credenciales de la víctima, a tan solo un click.
- El fallo encontrado tiene
varios factores que lo hacen posible:
- Un XSS en un antiguo
dominio de Epic Games, http://ut2004stats.epicgames.com, actualmente
deshabilitado.
- http://ut2004stats.epicgames.com/index.php?stats=map&SearchName=[Código
JS]
Un
redirector que se pasa como parámetro en la URL que se genera cuando el jugador
pulsar ‘Sign In’, y es fácilmente manipulable.
El uso de
SSO o Single Sign-On, con las plataformas PlayStationNetwork, Xbox Live,
Nintendo, Facebook y Google+
Fuente:
Hispasec