Stevig beveiligingslek ontdekt in Fortnite
Ethische hackers van cybersecuritybedrijf Check Point hebben een stevig beveiligingslek ontdekt in Fortnite, waardoor de accounts en daardoor ook kredietkaarten van de miljoenen spelers van de game kwetsbaar waren. Het lek werd doorgegeven aan Epic Games, dat het intussen heeft kunnen dichten.
Het beveiliginsgprobleem bestond uit de mogelijkheid voor hackers om de zogenaamde token, een uniek stukje code dat aan een gebruiker wordt gekoppeld om zo een unieke inlogsessie tot stand te brengen en ervoor te zorgen dat de juiste account bij de juiste gebruiker blijft, te verkrijgen van een gebruiker. Daarvoor moest die gebruiker wel eerst op een link klikken. Een beetje zoals phishing dus, alleen konden de hackers ervoor zorgen dat het leek alsof de link van Epic Games zelf kwam, waardoor alles veel onschuldiger oogde.
Op de link klikken was genoeg om de token prijs te geven, waardoor de hackers dan eigenlijk de inlogsessie met de feitelijke gebruiker konden delen. De hackers zaten zo dus effectief in de account van de gebruiker die op de link had geklikt. Daardoor konden ze ook gebruik maken van diens kredietkaart, indien die gekoppeld was, om zaken in de in-game shop te kopen. Ook communicatie met andere spelers kon zo getraceerd worden.
00ps!
Das nie best..
Geplaatst op 2019-01-16 13:33:40
Veel sites/apps zijn hiervoor kwetsbaar. Maar een token opslaan als cookie is nu niet echt het beste idee ook al wordt het vaak gedaan. Nu dat we toch over security bezig zijn snap ik niet dat 4gamers nog geen ssl certificaat via letsencrypt heeft toegepast. Dit is gratis en er zijn tools/hosts die het elke maand vernieuwen zodat het niet vervalt.
Geplaatst op 2019-01-16 13:55:07
Wat ik niet snap is dat ze anno 2019 niet eens een normale mobiele website hebben...
Geplaatst op 2019-01-17 12:54:26