Juegos

Fortnite: Fallo de seguridad permitía el robo de cuentas de Epic Games

Por Kalgator — 16 ene 19, 18:58
Kalgator
Kalgator #1 Ene '19 MiiOjete

La firma de seguridad Check Point ha revelado varias vulnerabilidades en Fortnite, que permitían que atacantes pudiesen acceder a las cuentas de usuarios.

Aunque el ataque ha sido tipo "phising" (suplantación de identidad), no ha sido culpa de los usuarios el revelar nuestro acceso a las cuentas, si no por culpa de la tecnología empleada por Epic.

La culpa de todo ello ha sido por las interconexiones de Google y Facebook junto al dominio oficial de accounts.epicgames.com, que no había sido validado, por ello podían ser redireccionadas.

Cuando un usuario pretendía acceder a su cuenta con solo pulsar un botón, llamabas a la solicitud del Token de autenticación a Facebook o Google, que en vez de llegar al usuario, llegaría primero al atacante, y así obtenía el acceso a tu cuenta sin que el usuario se enterase.

La vulnerabilidad fue descubierta en el mes de noviembre y ha sido resuelta en Enero, gracias a que Check Point contactase con Epic

Fuente, Check Point

xTwisted
xTwisted #2 Ene '19 :psyduck:

Pringaos

Guichigna
Guichigna #3 Ene '19

#1 imagino que es porque está hecho rápido y no revisaste. Pero en el segundo párrafo hay un "aun que" y en el tercero un "qie" que deberían ser corregidos. Un saludo de tu amigo y vecino el pesado que corrije.

1 3 respuestas
Kalgator
Kalgator #4 Ene '19 MiiOjete

#3 Las prisas y mis muñones :new_moon_with_face:

Salcort
Salcort #5 Ene '19

Y lo que me extraña es que con la cantidad de milenials rata que hay jugando a esto ningun ruso/chino se halla dado cuenta antes y halla reventado las BBDD de Epic..

2 respuestas
toyakens
toyakens #6 Ene '19

#5 este fallo permitía robar cuentas, no hackear el Pentágono.

2 1 respuesta
Dieter
Dieter #7 Ene '19 Penitente

ha sido cosa de Gaben. Dios la de datos que han tenido que robar.

1
Kalgator
Kalgator #8 Ene '19 MiiOjete

#5 lo que te quitaban como bien he puesto es el token, tu contraseña no estaba comprometida en ningun momento (token es lo que te da google o facebook al hacer el login en una de estas plataformas, ellas comparten un codigo/token, nunca dan tu contraseña)

Esta puede ser la razón de "me han gastado los vBuck en la tienda", que muchos usuarios reportaban

cabron
cabron #9 Ene '19 Judas

De todas formas, salvo que esté explicado como el ojete y no lo haya entendido bien, para hacer eso primero habría que haber accedido a la víctima y redirigir ese dominio en su máquina a otro lado, no es que tampoco fuese una vulnerabilidad directamente explotable.

Edit: vale no habia visto el diagrama pensaba que era un login desde el cliente no via web

1 respuesta
Kalgator
Kalgator #10 Ene '19 MiiOjete

#9 Me he explicado como el culo en la noticia, pero si, la victima hace click en cualquier enlace (por ejemplo en uno que ponemos en mediavida), esta hace una redireccion a una pagina fraudulenta que redirecciona a la oficial, pero ya le ha metido javascript, al no estar cifrada la de epic, al loguear, el javascript pilla el token y lo guarda antes de que tu loguees (por eso lo del phising, pero realmente estás en la página oficial, no como el tipico mail de paypal que directamente es la pagina paypaI.cm (la L es una i) donde ya se huele el fraude, pero bueno, con el cliente tambien te podian joder, no solo es con la web...

1 respuesta
Dieter
Dieter #11 Ene '19 Penitente

#10 vamos que no te pilla el login y el pass, lo que te pilla son las credenciales de acceso que te devuelve para acceder a la cuenta

2
Asterix18
Asterix18 #12 Ene '19

#3 corriJe...

1 respuesta
Salcort
Salcort #13 Ene '19

#6 No he nombrado al Pentagono, solo a Epic.

1 respuesta
Hazzard
Hazzard #14 Ene '19

De ahí que la gente se quejaba que le desaparecian paVos y tal no?

B
[Borrado] #15 Ene '19

#13 Y aún así el mensaje se entiende que te cagas (lo que tiene mérito) :joy:

NeV3rKilL
NeV3rKilL #16 Ene '19 :psyduck:

Pishing vamos. Que sigan colando estos ataques hoy día... manda cojones ostia.

1 respuesta
Kalgator
Kalgator #17 Ene '19 MiiOjete

#16 es phising pero desde la pagina oficial, no una web clon

1 respuesta
NeV3rKilL
NeV3rKilL #18 Ene '19 :psyduck:

#17 Oficial, oficial, no, porque dicha web redirecciona a url maliciosa y vuelve a pedir token a google.

opk
opk #19 Ene '19

#3 corrige tu corrije.

1 respuesta
Guichigna
Guichigna #20 Ene '19

#12 #19 lamentable por mi parte... Lo dejo ahí para que me escueza cada vez que lo vea.

1 respuesta
opk
opk #21 Ene '19

#20 xd

Usuarios habituales

  • opk
  • Guichigna
  • NeV3rKilL
  • Kalgator
  • Salcort
  • Dieter
  • xTwisted

Tags