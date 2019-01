De onderzoekers vonden een kwetsbaarheid in de site van Epic Games, uitgever van onder meer het bijzonder populaire spel Fortnite. De kwetsbaarheid zou het hackers mogelijk kunnen maken om volledige toegang te krijgen tot accounts. Daarbij zou het onder meer mogelijk zijn om virtuele in-game munten te kopen met de betaalkaartgegevens van de gebruiker, en mee te luisteren met diens in-game gesprekken.

Fortnite heeft momenteel bijna 80 miljoen spelers over de hele wereld, en het werd eerder al doelwit van hackers. Eerdere phishing-pogingen probeerden gebruikers te overhalen hun gegevens achter te laten op valse websites met de belofte dat ze daar virtuele munten voor het spel, zogenaamde V-bucks, konden winnen. Deze nieuwe kwetsbaarheid zou echter kunnen worden uitgebuit zonder dat de speler zelf zijn login-details overhandigt.

Het gaat, zo zegt Check Point, om kwetsbaarheden in de webinfrastructuur van Epic Games. Die maakten dat de onderzoekers het tokengebaseerde authenticatiesysteem konden gebruiken in samenspraak met single sign-on systemen zoals Facebook, Google en Xbox, om zich voor te doen als gebruikers te stelen en hun account over te nemen. Volgens Check Point waren specifiek twee subdomeinen van Epic Games kwetsbaar voor valse redirects, die zouden kunnen worden gebruikt om tokens te onderscheppen.

"Die website, dat is waar je inlogt, daar zit je online identiteit en je virtuele munten", zegt Christof Jacques, security engineer bij Check Point aan Datanews. "Als je zo'n website schrijft, dan moet je zorgen dat externe factoren niet naar een ander domein kunnen redirecten. Dat hebben ze niet gedaan, waardoor we trafiek naar een andere website konden doorsturen. Daar konden we dan scripts draaien om bijvoorbeeld tokens te onderscheppen of misbruiken."

Single sign-on

De kwetsbaarheid lijkt specifiek te draaien rond de 'single sign-on' systemen, waarmee je bijvoorbeeld inlogt met Facebook of Google. Bij zo'n systeem log je in op een andere website, die een token met jouw authenticatie doorstuurt naar Epic Games.

"Zo'n login token is het ticketje waarmee je binnen mag. De toegang komt in dit geval van Facebook of Google. Op zich is dat geen probleem, maar je moet die token wel mooi behandelen als je hem terugkrijgt", aldus nog Jacques."In dit geval konden wij het onderscheppen, waardoor we zelf in de account konden."

Epic Games host naast het populaire Fortnite ook een online gamewinkel. Eens ingelogd in de account, zouden eventuele hackers betaalkaartgegevens kunnen gebruiken om virtuele in-game munten te kopen, andere spelletjes aan te kopen, of mee te luisteren met in-game gesprekken van de speler, die over de website worden gestreamd.

Fortnite heeft het beveiligingslek meteen gedicht na de melding van Check Point, en voor zover bekend, heeft het lek geen slachtoffers gemaakt. Gebruikers die zichzelf tegen dit soort kwetsbaarheden willen beschermen, kunnen best twee-factor authenticatie aanzetten, zo meldt het beveiligingsbedrijf nog.