Olhar Digital > Notícias > Falha de segurança em Fortnite permitia a hackers sequestrar contas de usuários

Falha de segurança em Fortnite permitia a hackers sequestrar contas de usuários

Vulnerabilidade foi encontrada em uma página de registros de 2004 da Epic Games, usada para o jogo Unreal Tournament.
Redação16/01/2019 17h59, atualizada em 16/01/2019 18h05
20181206165837
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Siga o Olhar Digital no Google Discover

Pesquisadores da empresa de segurança Check Point descobriram vulnerabilidades no site da Epic Games, que permitiam a criminosos virtuais acessar as contas do Fornite sem sequer precisar de uma senha. Os especialistas descobriram ainda que, uma vez nessas essas contas, os hackers ainda podiam escutar as conversas dos amigos e usar as informações do cartão de crédito das vítimas para comprar itens do jogo.

Ofertas
NTK - Mochila Edge Executiva Grande Expansível Impermeável para Escritório e Viagem - Reforço e Compartimento para Notebook até 16 Polegadas, Ideal para Trabalho e Estudo, Cinza
Vendido por Amazon
NTK - Mochila Edge Executiva Grande Expansível Impermeável para Escritório e Viagem - Reforço e Compartimento para Notebook até 16 Polegadas, Ideal para Trabalho e Estudo, Cinza
De: R$ 219,00
Por: R$ 204,10
Estojo Escolar Organizador Box Grande Para Lapis Feminino Masculino Material Escolar
Vendido por Amazon
Estojo Escolar Organizador Box Grande Para Lapis Feminino Masculino Material Escolar
De: R$ 40,90
Por: R$ 33,90
JBL, Fone de Ouvido Bluetooth, Tune Buds 2, Intra Auricular, Sem Fio, Com Cancelamento de Ruído, Bateria de até 48h, Som JBL Pure Bass - Branco
Vendido por Amazon
JBL, Fone de Ouvido Bluetooth, Tune Buds 2, Intra Auricular, Sem Fio, Com Cancelamento de Ruído, Bateria de até 48h, Som JBL Pure Bass - Branco
De: R$ 599,00
Por: R$ 274,09
Anker 332 Hub USB-C [5 em 1, HDMI 4K, 2 Portas USB-A 5 Gbps], Compatível com MacBook Pro, MacBook Air, Dell XPS, Lenovo ThinkPad, HP e Mais
Vendido por Amazon
Anker 332 Hub USB-C [5 em 1, HDMI 4K, 2 Portas USB-A 5 Gbps], Compatível com MacBook Pro, MacBook Air, Dell XPS, Lenovo ThinkPad, HP e Mais
De: R$ 229,00
Por: R$ 169,00
Caixa de Som Bluetooth, INAVA, Caixa de Som Portatil Com Graves Aprimorados e Som Surround 360°.
Vendido por Amazon
Caixa de Som Bluetooth, INAVA, Caixa de Som Portatil Com Graves Aprimorados e Som Surround 360°.
De: R$ 78,00
Por: R$ 74,10
Caixa de Som Bluetooth, INAVA, Caixa de Som Portatil Com Graves Aprimorados e Som Surround 360°.
Vendido por Amazon
Caixa de Som Bluetooth, INAVA, Caixa de Som Portatil Com Graves Aprimorados e Som Surround 360°.
De: R$ 78,00
Por: R$ 74,10
Caixa de Som Bluetooth, INAVA, Caixa de Som Portatil Com Graves Aprimorados e Som Surround 360°.
Vendido por Amazon
Caixa de Som Bluetooth, INAVA, Caixa de Som Portatil Com Graves Aprimorados e Som Surround 360°.
Por R$ 78,00
Wacom One Display Interativo 13 Polegadas Touch, Tela IPS Full HD, DTH134, Preto, para Educação, Escritório e Criação
Vendido por Amazon
Wacom One Display Interativo 13 Polegadas Touch, Tela IPS Full HD, DTH134, Preto, para Educação, Escritório e Criação
De: R$ 3.559,90
Por: R$ 1.435,96
KOSPET Tank T3 Ultra Smartwatch, 50M à prova de água, GPS, bússola, pressão do ar, altitude, aço inoxidável completo, chamada Bluetooth, ecrã AMOLED sempre activo de 1,43'', voz AI Banda de Metal
Vendido por Amazon
KOSPET Tank T3 Ultra Smartwatch, 50M à prova de água, GPS, bússola, pressão do ar, altitude, aço inoxidável completo, chamada Bluetooth, ecrã AMOLED sempre activo de 1,43'', voz AI Banda de Metal
De: R$ 899,99
Por: R$ 764,99
WAAW by ALOK Caixa de Som INFINITE 700 Bluetooth, Tipo Torre, Até 20h de Autonomia, 3 Alto-Falantes, TWS, 700W RMS
Vendido por Amazon
WAAW by ALOK Caixa de Som INFINITE 700 Bluetooth, Tipo Torre, Até 20h de Autonomia, 3 Alto-Falantes, TWS, 700W RMS
De: R$ 3.799,90
Por: R$ 3.369,83
Apple Watch SE 3 GPS, Caixa em alumínio luz das estrelas de 44 mm com Bracelete desportiva luz das estrelas - M/G
Vendido por Amazon
Apple Watch SE 3 GPS, Caixa em alumínio luz das estrelas de 44 mm com Bracelete desportiva luz das estrelas - M/G
De: R$ 3.699,00
Por: R$ 2.998,99
Apple Watch Series 11 GPS, Caixa em alumínio rosa‑dourado de 42 mm com Bracelete desportiva rosa leve - M/G
Vendido por Amazon
Apple Watch Series 11 GPS, Caixa em alumínio rosa‑dourado de 42 mm com Bracelete desportiva rosa leve - M/G
De: R$ 5.499,00
Por: R$ 4.599,00
eufy SoloCam S220 por anker, Câmera De Segurança Wi-Fi Externa, Solar Sem Fio Externa, 2K, Energia Contínua, Monitoramento inteligente de IA, Trabalha Com Alexa/HomeBase 3, Sem Taxa Mensal
Vendido por Amazon
eufy SoloCam S220 por anker, Câmera De Segurança Wi-Fi Externa, Solar Sem Fio Externa, 2K, Energia Contínua, Monitoramento inteligente de IA, Trabalha Com Alexa/HomeBase 3, Sem Taxa Mensal
De: R$ 549,00
Por: R$ 521,00
Anker Laptop Power Bank, 25.000mAh Carregador Portátil para Notebook, 3-Portas 100W USB-C, Cabos Retráteis Integrados, Aprovado para Viagens Aéreas, Compatível com iPhone 17, Samsung e Mais
Vendido por Amazon
Anker Laptop Power Bank, 25.000mAh Carregador Portátil para Notebook, 3-Portas 100W USB-C, Cabos Retráteis Integrados, Aprovado para Viagens Aéreas, Compatível com iPhone 17, Samsung e Mais
De: R$ 1.199,00
Por: R$ 899,00
DAC 401PP-AZ, Pasta Polipropileno Ofício, Azul, 332 x 232 mm
Vendido por Amazon
DAC 401PP-AZ, Pasta Polipropileno Ofício, Azul, 332 x 232 mm
De: R$ 8,14
Por: R$ 4,66
soundcore Q20i da Anker, Fone de Ouvido Bluetooth com Cancelamento de Ruído Híbrido Ativo, Headphone Sem Fio, 60h Bateria, Áudio Hi-Res, Graves Potentes, App Personalização, Modo Transparência, Azul
Vendido por Amazon
soundcore Q20i da Anker, Fone de Ouvido Bluetooth com Cancelamento de Ruído Híbrido Ativo, Headphone Sem Fio, 60h Bateria, Áudio Hi-Res, Graves Potentes, App Personalização, Modo Transparência, Azul
Por R$ 311,29
Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (Rosa)
Vendido por Amazon
Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (Rosa)
De: R$ 299,00
Por: R$ 241,44
Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (preto)
Vendido por Amazon
Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (preto)
De: R$ 299,00
Por: R$ 241,44
Smart TV TCL 43 Polegadas LED Full HD S5400A Android TV WiFi Bluetooth Google Assistente 43S5400A
Vendido por Amazon
Smart TV TCL 43 Polegadas LED Full HD S5400A Android TV WiFi Bluetooth Google Assistente 43S5400A
Por R$ 1.899,00
Garmin Relógio Instinct 3 Verde 45mm com Monitor Cardíaco de Pulso e GPS
Vendido por Amazon
Garmin Relógio Instinct 3 Verde 45mm com Monitor Cardíaco de Pulso e GPS
De: R$ 5.899,00
Por: R$ 3.799,00
SEMP SMART TV 55” 55S62 4K UHD GOOGLE TV
Vendido por Amazon
SEMP SMART TV 55” 55S62 4K UHD GOOGLE TV
De: R$ 2.499,00
Por: R$ 2.083,16
Anker Laptop Power Bank, 25.000mAh Carregador Portátil para Notebook, 3-Portas 100W USB-C, Cabos Retráteis Integrados, Aprovado para Viagens Aéreas, Compatível com iPhone 17, Samsung e Mais
Vendido por Amazon
Anker Laptop Power Bank, 25.000mAh Carregador Portátil para Notebook, 3-Portas 100W USB-C, Cabos Retráteis Integrados, Aprovado para Viagens Aéreas, Compatível com iPhone 17, Samsung e Mais
De: R$ 1.199,00
Por: R$ 899,00
soundcore AeroClip da Anker, Fones de Ouvido Blutooth Abertos, Clip-On, Conforto Adaptativo, Chamadas Claras com 4 Microfones e IA, Ajuste Estável, Drivers de 12mm para Graves Potentes, Rosa
Vendido por Amazon
soundcore AeroClip da Anker, Fones de Ouvido Blutooth Abertos, Clip-On, Conforto Adaptativo, Chamadas Claras com 4 Microfones e IA, Ajuste Estável, Drivers de 12mm para Graves Potentes, Rosa
De: R$ 1.199,00
Por: R$ 889,00
Mouse sem fio Logitech Pebble 2 M350s com Clique Silencioso, Design Slim Ambidestro, Conexão Bluetooth e Pilha Inclusa - Rosa
Vendido por Amazon
Mouse sem fio Logitech Pebble 2 M350s com Clique Silencioso, Design Slim Ambidestro, Conexão Bluetooth e Pilha Inclusa - Rosa
De: R$ 123,90
Por: R$ 79,90
Mouse Sem Fio Logitech M240 com Conexão Bluetooth, Clique Silencioso, Design Ambidestro Compacto, Bateria de 18 Meses, Compatível com Windows, macOS, ChromeOS - Branco
Vendido por Amazon
Mouse Sem Fio Logitech M240 com Conexão Bluetooth, Clique Silencioso, Design Ambidestro Compacto, Bateria de 18 Meses, Compatível com Windows, macOS, ChromeOS - Branco
De: R$ 95,90
Por: R$ 59,90
eufy Câmera S3 Pro Kit 2+1 por anker, Câmera De Segurança Wi-Fi Externa Sem Fio, 4K, Energia Solar, Visão Noturna MaxColor, Reconhecimento Facial por IA, Compatível com Alexa, Sem taxas mensais
Vendido por Amazon
eufy Câmera S3 Pro Kit 2+1 por anker, Câmera De Segurança Wi-Fi Externa Sem Fio, 4K, Energia Solar, Visão Noturna MaxColor, Reconhecimento Facial por IA, Compatível com Alexa, Sem taxas mensais
De: R$ 3.499,00
Por: R$ 3.324,00
Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (Azul)
Vendido por Amazon
Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (Azul)
De: R$ 299,00
Por: R$ 241,44
soundcore Select 4 Go da Anker, Alto-Falante Bluetooth Portátil, 20H de Bateria, IP67 à Prova d'Água e Poeira, Flutuante, Som Potente, Ideal para Ambientes Internos, Externos e Passeios
Vendido por Amazon
soundcore Select 4 Go da Anker, Alto-Falante Bluetooth Portátil, 20H de Bateria, IP67 à Prova d'Água e Poeira, Flutuante, Som Potente, Ideal para Ambientes Internos, Externos e Passeios
De: R$ 339,00
Por: R$ 188,99
Novo Kindle Paperwhite Signature Edition (32 GB) - O Kindle mais rápido já lançado, com luz frontal autoadaptável, carregamento sem fio e bateria que dura semanas - Cor Preta Metálica
Vendido por Amazon
Novo Kindle Paperwhite Signature Edition (32 GB) - O Kindle mais rápido já lançado, com luz frontal autoadaptável, carregamento sem fio e bateria que dura semanas - Cor Preta Metálica
Por R$ 1.147,87
Anker MagGo Power Bank, Bateria Magnética Ultra Fina de 10.000mAh, Certificação Qi2, Portátil, Carregador MagSafe Compatível de 15W Ultra Rápido, Compatível com iPhone 17/16/15, Samsung,Xiaomi e Mais
Vendido por Amazon
Anker MagGo Power Bank, Bateria Magnética Ultra Fina de 10.000mAh, Certificação Qi2, Portátil, Carregador MagSafe Compatível de 15W Ultra Rápido, Compatível com iPhone 17/16/15, Samsung,Xiaomi e Mais
De: R$ 499,00
Por: R$ 469,00
Projetor BYINTEK U14 4K 1080P WiFi Smart Full HD Projetor, Foco Automático, 1250 ANSI Lumens, Totalmente Selado à Prova de Poeira, Alto-falante Integrado de 12 W, Home Theater móvel
Vendido por Amazon
Projetor BYINTEK U14 4K 1080P WiFi Smart Full HD Projetor, Foco Automático, 1250 ANSI Lumens, Totalmente Selado à Prova de Poeira, Alto-falante Integrado de 12 W, Home Theater móvel
Por R$ 2.199,00
Apple 2025 iPad (Wi-Fi + Cellular, 128 GB) - Azul (A16)
Vendido por Amazon
Apple 2025 iPad (Wi-Fi + Cellular, 128 GB) - Azul (A16)
De: R$ 6.499,00
Por: R$ 5.799,00

Com o sucesso de Fortnite, que hoje tem cerca de 80 milhões de jogadores, a Epic Games lucrou mais de US$ 2 bilhões de dólares com o jogo em 2018, além de ser avaliada, hoje, em US$ 15 bilhões. Com tudo isso, é normal que a popularidade do jogo atraia criminosos virtuais de olho nas compras dentro do game. E, claro, surgem aí as preocupações com a segurança.

Em agosto de 2018, a Epic Games corrigiu uma falha de segurança em seu instalador para dispositivos Android, depois que pesquisadores do Google revelaram uma vulnerabilidade que poderia ter levado vítimas a instalar uma versão falsa de Fornite. Devido à sua popularidade, foi descoberto que Fortnite é um dos principais alvos do malware, com uma onda de aplicativos falsos surgindo online. Para tentar diminuir ao máximo as preocupações com segurança. A Epic Games tentou incentivar seus jogadores a usar a autenticação em dois fatores oferecendo brindes a quem o fizesse.

“Tivemos diversos relatos de abusos na rede da Fortnite”, declarou Oded Vanunu, chefe de pesquisa de vulnerabilidades da Check Point, ao site Cnet. “Fornite é mais do que um jogo – essa é uma enorme infraestrutura que atende a 80 milhões de jogadores, que são, na maioria, crianças”.
Falha foi encontrada em site da Epic Games…de 2004

Como o ataque funcionava

Mesmo com diversas medidas de segurança por parte da Fortnite no último ano, foi um site de 2004 da própria Epic Games que trazia uma brecha que permitia aos hackers assumirem as contas dos usuários de Fortnite. Os pesquisadores da Check Point encontraram uma URL insegura no endereço “ut2004stats.epicgames.com “- uma página de registros do jogo Unreal Tournament, lançado em 1998.

A página, que já foi desativada, estava aberta a ataques de script entre sites – quando alguém insere um código malicioso em uma página web. Os pesquisadores escreveram um código e o injetaram na página da Web para redirecionar os tokens de acesso de Fortnite aos servidores da Check Point, em vez do site da Epic Games.

Para quem não sabe, os tokens de acesso funcionam como autenticações fora da senha – são códigos gerados pelas plataformas para manter o usuário conectado, para que não seja necessário inserir login e senha toda vez que ele visitar uma página. A vulnerabilidade do Fortnite tirava proveito da vulnerabilidade de muitas maneiras diferentes, já que a plataforma permitia ao usuário entrar em sua conta da Epic Games, utilizando tokens de acesso das contas do Facebook, Google e Xbox.

De acordo com Eran Vaknin, pesquisador de segurança da Check Point, para que o ataque tivesse sucesso, o atacante teria que enviar o link de phishing na plataforma em que a vítima acessa o Fortnite – assim, quando ela vinculasse a conta da Epic Games ao Facebook, o hacker teria que passar pela rede social. Assim, depois de clicar no link, esses dados são extraídos, mesmo que a vítima não digite nada. Como a página comprometida tinha um URL da Epic Games, o golpe poderia passar despercebido para a imensa maioria das vítimas. “Mesmo que você tenha um produto de segurança com a funcionalidade de anti-phishing, ele não o pegaria, porque o golpe está sendo executado em um domínio legítimo”, disse Vaknin.

Falha já foi corrigida pela Epic Games

Falha foi descoberta pelos especialistas da Check Point em novembro do ano passado. Alertada, a Epic Games afirmou que a vulnerabilidade foi corrigida no começo de janeiro.

Em comunicado, um porta voz da Epic Games afirmou: “Fomos informados das vulnerabilidades e elas foram rapidamente resolvidas. Agradecemos à Check Point por trazer isso à nossa atenção. Como sempre, incentivamos os jogadores a proteger suas contas, não reutilizando senhas e usando senhas fortes, e não compartilhando informações de conta com outros “.

Fonte: Cnet

Redator(a)

Redação é redator(a) no Olhar Digital

Ícone tagsTags: