Uma falha de segurança do Fortnite foi descoberta pela Check Point Research no final de 2018. A vulnerabilidade permitiu que os hackers iniciassem facilmente um esquema de phishing enviando aos usuários links que pareciam páginas de login, mas na verdade coletavam contas de usuários.

A CPR notificou a Epic Games sobre a falha em novembro, e a Epic corrigiu a vulnerabilidade semanas depois. No entanto, durante esse período - e por algum tempo antes da CPR enviar o aviso - os usuários do Fortnite estavam correndo sério risco de fraude.

A RCP detalha exatamente como a exploração funcionou em uma explicação muito técnica em seu blog. No entanto, a essência do processo era bastante simples:

• Os hackers exploram o sistema de logon único que o Fortnite usa, que permite ao usuário acessar o Fortnite usando outras contas, como Facebook, Nintendo, Google+, etc.
• Os hackers então enviam um link para um usuário que parece legítimo. No entanto, ele realmente os redireciona através de um servidor diferente, que raspa suas informações de login.
• Como o link parecia legítimo e o usuário não precisava inserir suas credenciais, o usuário acha que nada aconteceu.
• Os hackers obtêm as informações de login, ultrapassam a conta e usam as opções de pagamento anexadas para fazer transações fraudulentas.

De acordo comThe Verge, os hackers que usassem essa façanha comprariam a moeda do jogo Fortnite (V-Bucks) usando as contas invadidas, presenteariam esses V-Bucks em outra conta e depois os venderiam com descontos para outros jogadores na dark web .

O Fortnite ganha bilhões de dólares em vendas no jogo, então essa atividade fraudulenta pode ser bastante lucrativa.

A Epic Games disse em um comunicado: “Fomos informados das vulnerabilidades e elas logo foram abordadas. Agradecemos à Check Point por trazer isso a nossa atenção. Como sempre, incentivamos os jogadores a proteger suas contas, não reutilizando senhas e senhas fortes, e não compartilhando informações da conta com outras pessoas. ”

Embora essa vulnerabilidade agora esteja corrigida, isso deve ser um lembrete para todos usarem senhas fortes, alterá-las frequentemente e inserir credenciais apenas em sites confiáveis.