Los investigadores de la firma israelí de ciberseguridad Check Point Software Technologies Ltd. dijeron que encontraron “vulnerabilidades de seguridad” en Fortnite, un popular videojuego en línea jugado por millones de personas en todo el mundo.
La vulnerabilidad se encontró en el proceso de inicio de sesión del juego, y podría haber permitido a los piratas informáticos hacerse cargo de la cuenta de cualquier usuario, ver la información de la cuenta personal, comprar moneda virtual en el juego y escuchar la conversación en el juego, así como las conversaciones en casa, según los investigadores en una entrada de blog.
Los investigadores alertaron al creador del juego, Epic Games, un desarrollador de videojuegos de EE. UU., y se reparó la falla.
Los jugadores de Fortnite ponen a prueba su habilidad y resistencia en un mundo virtual mientras luchan contra otros jugadores en línea por herramientas y armas y se esfuerzan por ser la última persona sobreviviente.
De acuerdo con los datos compilados por Bloomberg, el juego, con 200 millones de usuarios registrados, representa casi la mitad del valor estimado de la compañía de $ 5 mil millones a $ 8 mil millones.
“Con un ascenso tan meteórico en la fortuna, no es de extrañar que el juego popular ya haya atraído la atención de los ciberdelincuentes dedicados a engañar a los jugadores confiados”, dijeron los investigadores de Check Point.
Las estafas anteriores que involucraron a Fortnite engañaron a los jugadores para que ingresaran en sitios web falsos con el fin de adquirir dinero para el juego. Estos sitios, que se difunden a través de las campañas en las redes sociales, piden a los jugadores que ingresen sus credenciales de inicio de sesión, así como información personal como el nombre, la dirección y los detalles de la tarjeta de crédito (generalmente de los padres del jugador).
Los investigadores de Check Point, sin embargo, encontraron una forma de hacerse cargo de las cuentas de los usuarios sin tener que entregar sus datos de inicio de sesión. Pudieron identificar vulnerabilidades en el proceso de autenticación del token de Epic Games que les habría permitido robar el token de acceso del usuario y realizar una toma de control de la cuenta.
Esto habría permitido a los piratas informáticos iniciar sesión en la cuenta Fortnite de un usuario y ver los datos almacenados allí, incluida la posibilidad de comprar más dinero en el juego a expensas del usuario. También tendrían acceso a todos los contactos del usuario en el juego, así como escuchar las conversaciones que tienen lugar durante el juego, dijo el blog.
Check Point alertó a Epic Games sobre la vulnerabilidad en noviembre, y la firma comenzó a corregir la falla en diciembre y completó el parche el martes, dijo el portavoz.
Un portavoz de Check Point dijo que no está claro si los usuarios han sido hackeados utilizando la vulnerabilidad encontrada por los investigadores israelíes, que es la más grande que se ha identificado hasta la fecha. Pero hay mucha conversación en línea con personas que dicen que han sido hackeados a través de Fortnite.
“No hace falta decir que junto con esta invasión masiva de la privacidad, los riesgos financieros y el potencial de fraude son enormes”, dijeron los investigadores. “Los usuarios bien podrían ver grandes compras de moneda en el juego hechas en sus tarjetas de crédito con el atacante canalizando esa moneda virtual para ser vendida por dinero en efectivo en el mundo real”.
Los investigadores de Check Point dijeron que las organizaciones con portales en línea orientados al cliente deben realizar verificaciones de validación adecuadas en las páginas de inicio de sesión a las que les piden a sus usuarios que accedan. También deben realizar “controles de higiene completos y regulares” en toda su infraestructura de TI “para garantizar que no hayan dejado en línea los sitios o puntos de acceso, obsoletos y no utilizados”.
“Cuando los atacantes están constantemente buscando el enlace más débil en la presencia en línea de su empresa, estas páginas a menudo desconocidas y desprotegidas pueden servir fácilmente como una puerta trasera a la red principal de su empresa”, dijo la publicación del blog.