jeudi, juin 30

Une vulnérabilité Fortnite vous a permis d’accéder aux informations personnelles et de faire des achats avec le compte d’un autre utilisateur.

89

Le spécialiste de la cybersécurité Checkpoint a découvert des vulnérabilités qui ont pu affecter les joueurs du jeu de combat en ligne Fortnite.

A lire aussi : Microsoft annonce Project Xcloud, un service de streaming de jeux pour n'importe quel appareil

Si la vulnérabilité est exploitée, le cybercriminel peut accéder au compte et aux informations personnelles d’un utilisateur, ainsi qu’acheter de l’argent virtuel dans le jeu en utilisant les données de la carte de paiement de la victime.

La vulnérabilité affecte également la vie privée, car le cybercriminel peut entendre des conversations dans le jeu, ainsi que des sons et des conversations provenant de la maison de la victime ou d’un autre terrain de jeu.

A lire également : Microsoft veut apporter Xbox Live à Android, iOS et Nintendo Switch pour Xbox Live

Un lien par courriel pourrait déclencher la vulnérabilité

En raison des trois vulnérabilités trouvées dans l’infrastructure web d’Epic Games, les chercheurs ont démontré la vulnérabilité du processus d’authentification par jeton, qui est utilisé conjointement avec les systèmes de Single Sign-On (SSO) de Facebook, Google, ou Xbox.

Le joueur n’a qu’à cliquer sur un lien de phishing créé à partir d’un domaine Epic Games, une formule pour que tout semble transparent. Une fois cliqué, le jeton d’authentification Fortnite de l’utilisateur peut être capturé par l’intrus sans que l’utilisateur n’ait à entrer ses identifiants.

Selon les chercheurs de Check Point, la vulnérabilité potentielle provenait de défauts trouvés dans deux des sous-domaines d’Epic Games qui étaient susceptibles d’être redirigés de manière malveillante, permettant aux jetons d’authentification légitimes des utilisateurs d’être interceptés par un pirate du sous-domaine en question.

Les joueurs disposant d’une authentification à deux facteurs seraient en sécurité.

Check Point a notifié Epic Games de la vulnérabilité, qui a déjà été corrigée.

Pour minimiser la menace d’une attaque qui exploite des vulnérabilités telles que celle-ci, les utilisateurs doivent activer l’authentification à deux facteurs, en s’assurant que, lorsqu’ils se connectent à leur compte à partir d’un nouveau périphérique, un code de sécurité leur est demandé et reçu dans leur e-mail.