Experten finden Sicherheits-Lücke in Fortnite, die 80 Millionen betraf

Bei Fortnite haben Sicherheitsexperten eine Lücke im Anmelde-Prozess von Fortnite aufgedeckt. Ein einziger falscher Klick reichte so, damit Hacker an die Daten kamen. 80 Millionen Accounts waren potentiell gefährdet.

Wer sind die Sicherheits-Experten? Die Firma heißt „Check Point“. Das ist eine israelische Sicherheitsfirma. Deren Experten haben versucht, Sicherheits-Schwachstellen in Fortnite zu finden und wurden tatsächlich fündig. Das sind im Prinzip „Hacker auf der Seite des Guten.“

Fortnite-Coin-Titel

Darum testen sie ausgerechnet Fortnite: Die Firma sagt, das Online-Spiel Fortnite sei deshalb so ein wichtiges Ziel, weil dort um die 80 Millionen Accounts jeden Monat einloggen: das sind also die aktiven Spieler, von denen man ausgeht.

Diese Spieler haben persönliche Angaben, Kreditkarteninformationen und anderes mit ihrem Account verknüpft: Das sind alles Daten.

Und wer an diese Daten herankommt, kann sie verkaufen.

Wie der Chef der „Schwachstellen“-Forscher sagt, wären Plattformen wie die von Epic immer stärker im Fokus von Hackern, weil dort so viele sensiblen Daten lagerten. Zudem gebe es einen regen Markt, um solche Accounts zu verkaufen, die etwa besondere Skins besitzen.

Mehr zum Thema
Fortnite: Free V Bucks Hacks – Was steckt dahinter und funktioniert das?

Das war die Lücke: Die Experten konnten drei Schwachstellen in der Server-Struktur von Epic Games ausmachen, um sie dann auszunutzen.

Das liegt unter anderem daran, dass Epic es den Spielern so leicht wie möglich machen will, in Fortnite einzuloggen. Daher erlaubt Epic den Zugang über „Dritte“ wie Google oder Facebook.

Diagramm-Fortnite-Feheler

Das Diagramm von Check Point zeigt den Angriff – Quelle: Check Point

Bei diesem Prozess wird ein „Authentifizierungs“-Token erstellt. Das konnten die Angreifer abgreifen, weil die Login-Seite „accounts.epicgames.com“ anfällig für einen Redirect war.

So konnten die Angreifer ein Java-Script auf eine andere Unterseite von Epic Games laden, zu der dann Spieler hingelockt wurden. So konnten sie Einlogg-Daten abzweigen.

Was mussten Spieler falsch machen? Für den Angriff reichte es, dass Spieler auf einen „Phishing-Link“ klickten: Etwa ein Link in einer eMail, der ihnen kostenlose V-Bucks versprach: ein beliebtes Mittel.

Sobald die Spieler nur auf den Link klickten, hatten die Angreifer schon die Daten. Die Spieler mussten nicht mal ihre Account-Daten angeben.

Das hätten Angreifer mit den Daten machen können: Die Angreifer hätten die Kreditkarten belasten können, Daten abgreifen oder den Ingame-Chat mitanhören können.

Boogie-Down-Fortnite

Das haben die Sicherheits-Experten gemacht: Die Leute von Check Point haben alle Erkenntnisse vor der Veröffentlichung schon an Epic Games mitgeteilt. Die haben die Sicherheitslücken mittlerweile geschlossen, wie die Seite Forbes berichtet.

Das empfehlen die Experten: 

  • Die Firma empfiehlt jeden Kunden, auf eine Zwei-Faktor-Authentifizierung zu setzen. Dem stimmt Epic zu.
  • Die Profis raten Firmen wie Epic, mit anderen großen Gaming-Firmen zusammenzuarbeiten. Blizzard hätte dieselben Probleme seit Jahren. Eine Industrie, die Milliarden verdiene, müsste ihre Methoden mit den anderen teilen und so zeigen, dass man sich um das Wohl der Kunden und Fans sorgt.
Mehr zum Thema
Fortnite: So aktiviert Ihr Zwei-Faktor-Authentifizierung (2FA) für Gratis-Emote
Autor(in)
Quelle(n): Check PointForbes
Deine Meinung?
Level Up (5) Kommentieren (2)
Passwort vergessen

Bitte gib Deinen Benutzernamen oder Deine Email-Adresse ein. Du erhälst einen Link, um ein neues Passwort per Email zu erstellen.