Kontrol Noktası Araştırması tarafından 2018 yılının sonlarına doğru bir Fortnite güvenlik hatası tespit edildi. Bu güvenlik açığı, bilgisayar korsanlarının kullanıcılara giriş sayfası gibi görünen, ancak aslında kullanıcı hesaplarını harcayan bağlantılar göndererek bir kimlik avı düzenini kolayca başlatmasına olanak sağladı.

CPR, Kasım ayındaki hatayı Epic Games'e bildirdi ve Epic, güvenlik açığı haftalarını sonra yattı. Bununla birlikte, bu süre zarfında - ve bir süre CPR bildirimi göndermeden önce - Fortnite kullanıcıları ciddi dolandırıcılık riski altındaydı.

CPR, istismarın tam olarak nasıl çalıştığını blogunda çok teknik bir açıklama ile açıklar. Ancak, sürecin özü oldukça basitti:

• Hackerlar, Fortnite'ın kullandığı ve Facebook, Nintendo, Google+ gibi diğer hesapları kullanarak bir kullanıcının Fortnite'e giriş yapmasını sağlayan tek oturum açma sisteminden yararlanır.
• Bilgisayar korsanları daha sonra okunaklı görünen bir kullanıcıya bağlantı gönderir. Ancak, aslında onları giriş bilgilerini sıyıran farklı bir sunucu üzerinden yönlendirir.
• Bağlantı okunaklı göründüğü ve kullanıcının kimlik bilgilerini gerçekten girmesi gerekmediğinden, kullanıcı hiçbir şey olmadığını düşünüyor.
• Bilgisayar korsanları giriş bilgilerini alır, hesabı ele geçirir ve sahte işlemler yapmak için ekli ödeme seçeneklerini kullanır.

GöreSınırbu istisnayı kullanan bilgisayar korsanları, kaçırılan hesapları kullanarak Fortnite’ın oyun içi para birimini (V-Bucks) alacak, bu V-Bucks’ı başka bir hesaba hediye edecek ve daha sonra V-Bucks’ı karanlık web'deki diğer oyunculara indirimli olarak satabilecek .

Fortnite, oyun içi satışlardan milyarlarca dolar kazanıyor, bu yüzden bu hileli faaliyet oldukça kazançlı olabilir.

Epic Games, yaptığı açıklamada, “Güvenlik açıklarından haberdar olduk ve yakında ele alındılar. Bunu dikkatimize sunduğumuz için Check Point'e teşekkür ederiz. Her zaman olduğu gibi, oyuncuları şifrelerini tekrar kullanmayarak ve güçlü şifreler kullanarak ve hesap bilgilerini başkalarıyla paylaşmayarak hesaplarını korumaya teşvik ediyoruz. ”

Bu güvenlik açığı artık düzeltilmiş olsa da, bu durum güçlü şifreler kullanmak, bunları sık sık değiştirmek ve yalnızca güvenilir web sitelerine kimlik bilgilerini girmek için hatırlatıcı olmalıdır.