فورتنایت یک بازی جهان باز(Open World) در سبک بقاء، با گیم پلی گروهیست که برای اکس باکس وان، پلیاستیشن ۴، مک او اس، مایکروسافت ویندوز و اندروید منتشر شدهاست. این بازی توسط اپیک گیمز(Epic Games) و پیپل کن فلای(People Can Fly) توسعه یافت و توسط اپیک گیمز منتشر شد.
چندی پیش گزارشهای متعددی در رابطه با هک اکانتهای کاربریِ برخی از بازیکنان Fortnite به صورت آنلاین مخابره شد. برخی از بازکینان ادعا کردهاند که هکرها توانستهاند حسابهای آنها را کنترل کرده و اقلام بازی را با اطلاعات کارت اعتباری آنها خریداری کنند.
در ماه نوامبر ۲۰۱۸ خبرگزاری Variety فاش کرد که شرکت امنیتی Checkpoint موفق به کشف این آسیبپذیری شده است.
این شرکت فورا Epic Games، و توسعهدهندگان Fortnite را از کشف این آسیبپذیری مطلع نمود، و ظاهرا در حال حاضر Epic Games این نقص را رفع کرده است.
سخنگوی تولیدکنندکان این محصول میگوید: “ما به محض آگاهی از این آسیبپذیری خیلی سریع آنرا مشخص کردیم. ما از Checkpoint برای توجه به این موضوع تشکر میکنیم. ما بازیکنان را تشویق میکنیم تا با عدم استفاده از رمزهای تکراری و بهرهگیری از رمزهای قوی و همچنین به اشتراک نگذاشتن اطلاعات حساب خود با دیگران، از حسابهای خود محافظت کنند.”
آسیب پذیری Fortnite
در این مورد خاص، مسئله به اطلاعات رمزهای کاربری مربوط نبود، زیرا هکرها میتوانستند بدون استفاده از اطلاعات لاگینِ بازیکنان، به یک حساب دسترسی یابند.
در عوض، محققان Checkpoint گفتهاند که این آسیبپذیری به نقاط ضعف موجود در در دو Sub-Domain متعلق به Epic Games online مرتبط است که مستعد یک هدایت مخرب بودهاند. این مشکل به هکرها اجازه میداد تا Tokenهای مجاز احراز هویت کاربر را قطع نمایند.
Checkpoint در یکی از پست اخیر وبلاگی خود گفته است: “با توجه به تغییر مسیر مخرب، Token به Sub-Domain دستکاری شده بازگردانده میشود، که در آنجا مهاجم قادر به جمع آوری Token از طریق کد جاوا اسکریپت Inject شده بودده است.”
براساس گزارش Variety، محققان گفتهاند که سه نقیصه در زیرساختهای وب Epic Games پیدا کردهاند، که برای برداشت اکانتهای کاربری و رویت اطلاعات شخصی آنها کافیست.