17 ene. 2019

Vulnerabilidades de SQLi y XSS en Fortnite permitía revelar información personal y datos bancarios de sus jugadores

Según ha comunicado la compañía de ciberseguridad Check Point, existen tres nuevas vulnerabilidades en el registro de cuentas del videojuego Fortnite que han dejado expuestos los datos personales y de tarjetas de crédito de los jugadores a través de vulnerabilidades de SQL Injection y XSS en algunos de los subdominios de la compañía.
A través de estas vulnerabilidades pueden hacerse con el control de las cuentas de usuarios de Fortnite, con la posibilidad de hacer compras de objetos del juego con la moneda virtual V-Buck.

Este problema también afecta a la privacidad, pues los atacantes podrían escuchar las conversaciones dentro de Fortnite accediendo al sonido grabado por el micrófono de los usuarios durante el juego, así como a la información personal almacenada en las cuentas.

Estas nuevas vulnerabilidades podrían haber sido explotadas sin que el jugador introduzca ningún dato de acceso. Para ello, se aprovecha la infraestructura web de Epic Games y el sistema de autenticación basado en "tokens".

Los mecanismos de la web del videojuego, junto con los sistemas de acceso unificado Single Sign-On (SSO) como Facebook, Google y Xbox, han podido utilizarse para robar las credenciales de acceso del usuario y hacerse con la cuenta de la víctima si esta hace clic en un enlace de "phishing".

Check Point ha informado a Epic Games, la desarrolladora de Fortnite, acerca de las vulnerabilidades de su videojuego, que suma cerca de 80 millones de jugadores a nivel global. En la actualidad, el problema ya se ha solucionado, según la empresa de ciberseguridad.

Fuente: La Vanguardia

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!