حفره امنیتی در فورت‌نایت به هکرها اجازه دسترسی به اطلاعات کاربران را می‌داد

محققان Check Point چندین آسیب‌پذیری امنیتی را در Fortnite بازی بتل رویال محبوب آنلاین کشف کرده‌اند که یکی از آنها به مهاجمین از راه دور این امکان را می‌داد که به طور کامل به اطلاعات بازیکنان دسترسی داشته باشند، برای اینکار تنها کافی بود با فریب دادن کاربر آنها را ترغیب به کلیک کردن بر روی لینک موردنظرشان کنند.

تصاحب کامل اکانت پلیرها می‌تواند چیزی شبیه به یک کابوس باشد، به خصوص برای کاربران این بازی محبوب که تعداد آنها کم نیست و چیزی در حدود 80 میلیون نفر در سراسر جهان کاربر آن هستند و حتی اکانتی از آن در eBay به قیمتی بالای 50000 دلار فروخته شده است.

بازی فورت‌نایت این اجازه را به کاربران می‌دهد که با استفاده از اکانت‌های شخص ثالث مانند فیسبوک، گوگل، Xbox و پلی‎استیشن وارد بازی شود. مشکلات امنیتی نظیر تزریق اسکریتپ از طریق وب‌گاه (XSS) و مشکلات متصل کردن کاربران به لینک‌های مخرب در بازی اپیک گیمز به مهاجمین این اجازه را می‌داد که به راحتی اطلاعات کاربران این بازی را به سرقت ببرند. پس از دسترسی، مهاجمین می‌توانستند به اطلاعات شخصی کاربران دسترسی داشته باشند، ارزهای مجازی بازی را خریداری کنند و تجهیزات درون بازی را بخرند و آنها را به اکانت‌های دیگری که توسط هکرها کنترل می‌شود، منتقل کرده و این اکانت‌ها را با امکانات ویژه به کاربران دیگر بفروشند.

محققان Check Point در وبلاگ خود توضیح داده‌اند که در کنار محبوبیت تکرارنشدنی که بازی فورت‌نایت دارد، حفره‌های امنیتی آن بسیار خطرناک بودند. مهاجمین می‌توانستند به تمام مخاطبین قربانی‌ها و مکالمات آنها با یکدیگر در محیط بازی دسترسی داشته باشند که این موضوع می‌توانست حریم شخصی بازیکنان را به شدت تحت تأثیر قرار دهد. تزریق SQL (یا تزریق به پایگاه داده که یک نقض امنیتی است) در یک بازی اپیک گیمز وجود داشت که اگر استخراج می‌شد، مهاجمین می‌توانستند تشخیص دهند که چه نسخه‌ای از پایگاه داده MySQL استفاده شده است.

محققان چک پوینت توسعه دهندگان اپیک گیمز را از ضعف‌های امنیتی فوت‌نایت آگاه کرده بودند و آنها در اواسط دسامبر این مشکلات را برطرف کردند. با این حال، هر دو شرکت به کاربران بازی فورت‌نایت توصیه کرده‌اند که به هیچ عنوان لینک‌های مشکوک را باز نکنند و نسبت به اشتراک گذاری اطلاعات خود در این بازی و در انجمن آن دقت کنند. علاوه‌براین توصیه شده است که اهراز هویت 2 مرحله‌ای این بازی فعال شود و کاربران برای ورود به بازای کد امنیتی که از طریق ایمیل دریافت می‌کنند را وارد کنند.