Tietoturvayhtiö Check Point Software Technologies on julkistanut yksityiskohtia haavoittuvuuksista, jotka vaaransivat supersuositun Fortnite-taistelupelin pelaajien yksityisyyden ja rahat. Haavoittuvuudet on jo korjattu. Vaarassa oli lähes 80 pelaajan tiedot eri puolilla maailmaa.
Fortnitea pelataan kaikilla pelialustoilla, mukaan lukien Android, iOS, konsolit kuten PlayStation4 ja Xbox One sekä Microsoft Windowsia käyttävät tietokoneet. Fortniteä pelaavat myös monet peliammattilaiset, joiden pelaamista voi seurata suorana verkossa, ja se on e-urheilun ystävien suosiossa.
Jos haavoittuvuuksia olisi hyödynnetty, hyökkääjä olisi saanut rajoittamattoman pääsyn pelaajan tilille ja hänen tietoihinsa sekä pystynyt hankkimaan pelivaluuttaa pelaajan luottokorttitiedoilla. Pelaajan yksityisyys olisi vaarantunut myös siten, että hyökkääjä olisi voinut kuunnella hänen pelin tuoksinassa käymiään keskusteluja. Myös huoneen taustaäänet olisivat olleet kuunneltavissa.
Fortniten pelaajiin on aikaisemmin kohdistunut huijausyrityksiä, joissa heitä on houkuteltu kirjautumaan valesivustoille, joissa olisi muka voinut saada käyttöönsä Fortniten pelirahaa (V-buck). Nyt löydetty haavoittuvuus olisi kuitenkin toiminut ilman kirjautumista uudelle sivustolle.
Havaitut kolme virhettä liittyivät kirjautumiseen Single Sign-On (SSO) -järjestelmän kautta, esimerkiksi Facebook-, Google- tai Xbox-salasanojen avulla. Hakkeri olisi voinut napata käyttäjän käyttöoikeustietueen (token) ja ottaa Fortnite-tilin haltuunsa. Pelaajan olisi pitänyt ainoastaan klikata hakkerin laatimaa kalastelulinkkiä, joka olisi tullut aidosta Epic Gamesin osoitteesta.
Ohjelmointivirheet sijaitsivat Epic Gamesin verkkosivujen kahdella alasivulla, joiden kautta hakkerin olisi ollut mahdollista järjestää napattujen tietojen uudelleenohjaus itselleen.
Check Pointin mukaan hakkerihyökkäykset pilvipalveluihin ovat nopeasti yleistymässä. Kyberrikolliset tietävät, että palvelut sisältävät paljon tietoa yhtiöiden asiakkaista. Hyväksi keinoksi suojautua näitä hyökkäyksiä vastaan Check Point esittää kaksitasoisen tunnistuksen käyttöönottoa.
Check Point ilmoitti löydöksistään Epic Gamesille, ja haavoittuvuus on nyt korjattu. Check Point ja Epic Games kehottavat pelaajia tarkkaavaisuuteen aina, kun tietoa siirtyy digitaalisesti, ja noudattamaan pelatessaan hyviä kybertapoja. Käyttäjäfoorumeilla ja verkkosivuilla sijaitseviin linkkeihin kannattaa suhtautua terveen epäluuloisesti. Kaksitasoinen tunnistautuminen on hyvä ottaa käyttöön aina kun mahdollista.
Perusteellisemmat tiedot haavoittuvuuksista löytyvät Check Pointin tutkimusblogista.