O bug permitia que atacantes acedessem às contas de utilizadores do Fortnite e desta forma ter acesso não apenas aos dados do cartão de crédito, mas também às conversas.
Uma série de vulnerabilidades descobertas no site da Epic Gamespermitia que hackers pudessem redirecionar tráfego da página de acesso principal do site (accounts.epicgames.com) para uma página de destino específica. Neste redireccionamento, um hacker que conseguisse explorar a falha poderia ter sido capaz de redirecionar os tokens de acesso dos servidores da Epic Games, gerindo o acesso às contas sem necessidade de password. Isto é possível já que o site utiliza de forma conjunta tokens de autenticação e uma solução de Single Sign-On, como faz o Facebook, Google, X-Box e outros serviços que estão incluídos no processo de login para utilizadores de Fortnite.
Numa situação em que o domínio da página de acesso principal do site não tenha sido validado, era suscetível de um redireccionamento malicioso. Desta forma, um hacker podia apoderar-se de qualquer conta do Fortnite, aceder a dados do cartão de crédito associado à conta e ter acesso às conversas que acontecem no jogo.
Um hacker apenas precisaria enviar um link malicioso para que a vítima acedesse ao mesmo. Se a vítima caísse na armadilha, o hacker conseguiria obter o token de autenticação para o Fortnite de forma imediata, sem necessitar que a vítima colocasse as suas credenciais.
As vulnerabilidades foram descobertas em novembro pela CheckPointe já foram resolvidas. Contudo, poderiam ter sido afetados por esta falha mesmo aqueles que usaram o nome de utilizador e passwords das suas contas de Facebook, Google, PlayStation, Nintendo ou X-Box para aceder à Epic Games.
Dada a popularidade deste jogo que em 2018 chegou a cerca de 80 milhões de jogadores, não é de estranhar que os hackers tentem encontrar falhas que possam explorar. No ano passado assistimos a distintos casos em que hackers tentavam aproveitar-se, por exemplo, do facto da Epic Games ter decidido não oferecer o jogo através do Google Play, para disponibilizar em lojas de terceiros versões fraudulentas do jogo.
