Bei Fortnite haben Sicherheitsexperten eine Lücke im Anmelde-Prozess von Fortnite aufgedeckt. Ein einziger falscher Klick reichte so, damit Hacker an die Daten kamen. 80 Millionen Accounts waren potentiell gefährdet.
Wer sind die Sicherheits-Experten? Die Firma heißt „Check Point“. Das ist eine israelische Sicherheitsfirma. Deren Experten haben versucht, Sicherheits-Schwachstellen in Fortnite zu finden und wurden tatsächlich fündig. Das sind im Prinzip “Hacker auf der Seite des Guten.”
Darum testen sie ausgerechnet Fortnite: Die Firma sagt, das Online-Spiel Fortnite sei deshalb so ein wichtiges Ziel, weil dort um die 80 Millionen Accounts jeden Monat einloggen: das sind also die aktiven Spieler, von denen man ausgeht.
Diese Spieler haben persönliche Angaben, Kreditkarteninformationen und anderes mit ihrem Account verknüpft: Das sind alles Daten.
Und wer an diese Daten herankommt, kann sie verkaufen.
Wie der Chef der „Schwachstellen“-Forscher sagt, wären Plattformen wie die von Epic immer stärker im Fokus von Hackern, weil dort so viele sensiblen Daten lagerten. Zudem gebe es einen regen Markt, um solche Accounts zu verkaufen, die etwa besondere Skins besitzen.
Das war die Lücke: Die Experten konnten drei Schwachstellen in der Server-Struktur von Epic Games ausmachen, um sie dann auszunutzen.
Das liegt unter anderem daran, dass Epic es den Spielern so leicht wie möglich machen will, in Fortnite einzuloggen. Daher erlaubt Epic den Zugang über „Dritte“ wie Google oder Facebook.
Bei diesem Prozess wird ein „Authentifizierungs“-Token erstellt. Das konnten die Angreifer abgreifen, weil die Login-Seite „accounts.epicgames.com“ anfällig für einen Redirect war.
So konnten die Angreifer ein Java-Script auf eine andere Unterseite von Epic Games laden, zu der dann Spieler hingelockt wurden. So konnten sie Einlogg-Daten abzweigen.
Was mussten Spieler falsch machen? Für den Angriff reichte es, dass Spieler auf einen „Phishing-Link“ klickten: Etwa ein Link in einer eMail, der ihnen kostenlose V-Bucks versprach: ein beliebtes Mittel.
Sobald die Spieler nur auf den Link klickten, hatten die Angreifer schon die Daten. Die Spieler mussten nicht mal ihre Account-Daten angeben.
Das hätten Angreifer mit den Daten machen können: Die Angreifer hätten die Kreditkarten belasten können, Daten abgreifen oder den Ingame-Chat mitanhören können.
Das haben die Sicherheits-Experten gemacht: Die Leute von Check Point haben alle Erkenntnisse vor der Veröffentlichung schon an Epic Games mitgeteilt. Die haben die Sicherheitslücken mittlerweile geschlossen, wie die Seite Forbes berichtet.
Das empfehlen die Experten:
- Die Firma empfiehlt jeden Kunden, auf eine Zwei-Faktor-Authentifizierung zu setzen. Dem stimmt Epic zu.
- Die Profis raten Firmen wie Epic, mit anderen großen Gaming-Firmen zusammenzuarbeiten. Blizzard hätte dieselben Probleme seit Jahren. Eine Industrie, die Milliarden verdiene, müsste ihre Methoden mit den anderen teilen und so zeigen, dass man sich um das Wohl der Kunden und Fans sorgt.
Bitte lies unsere Kommentar-Regeln, bevor Du einen Kommentar verfasst.
Um es mal mit denn berühmten Worten von
nelson muntz zu sagen : HA ! HA !
“Eine Industrie, die Milliarden verdiene, müsste ihre Methoden mit den anderen teilen und so zeigen, dass man sich um das Wohl der Kunden und Fans sorgt.”
Hoffen wirs.
Danke für den artikel Gerd ????????