Un error de seguridad de Fortnite permitió a los atacantes acceder a las cuentasde los usuarios después de hacer clic en un enlace sospechoso que se les envió. Los investigadores de Check Point Research encontraron el error y notificaron a Epic Games en noviembre, que luego corrigió la vulnerabilidad en unas pocas semanas.
Después de apropiarse de las mismas los atacantes podrían usar las cuentas para comprar V-Bucks. Los V-Bucks o paVos son la moneda virtual que se utiliza en Fortnite con los que se puede ir a su tienda online y adquirir sus diferentes complementos cosméticos. Estos se pueden conseguir por varias vías: buying them with real money, the real source of income for Epic Games, or completing missions and challenges that allow you to add them to your account.
The vulnerability originates from Epic's single sign-on implementation that works with many login providers, such as Facebook, Google+, PlayStation Network, Xbox Live and Nintendo. It leads to a redirect URL, that hackers can exploit to redirect a vulnerable webpage which then steals the victim's username and password. For the hack to work, the attacker must send a malicious link to the user's Fortnite account, and if the user clicks on it, lo redirigirá a una página que roba sus credenciales de inicio de sesión.
Epic Games declaró: “Fuimos conscientes de las vulnerabilidades y pronto fueron abordadas. Agradecemos a Check Point por llamar nuestra atención. As usual, alentamos a los jugadores a proteger sus cuentas a no reutilizar las contraseñas y a usar contraseñas seguras, y no compartir la información de la cuenta con otro.