Es curioso que cuando más se habla de seguridad, es cuando más errores al respecto se comete. Ahora, después de que se diera a conocer la filtración de cuentas de correo y contraseñas más grande de los últimos años, una de las plataformas digitales de mayor crecimiento en el mundo, Fortnite, acaba de dejar expuesta la información de millones de sus usuarios.
De acuerdo con el blog de la empresa de seguridad informática, We Live Security (auspiciada por Eset), expertos descubrieron una serie de vulnerabilidades en Fortnite, el sitio de Epic Games -que cuenta con más de 200 millones de jugadores registrados alrededor del mundo- tuvo una serie de vulnerabilidades que permitía redireccionar los tokens de acceso de los servidores y, así, entrar a las cuentas de los usuarios sin la necesidad de usar contraseñas.
Según el reporte, esto fue posible ya que el sitio utiliza de manera conjunta tokens de autenticación y una solución de Single Sign-On, tal como lo hace Facebook, Google, X-Box y otros servicios que están incluidos dentro del proceso de login para usuarios de Fortnite.
Este problema también afecta a la privacidad, ya que el ciberdelincuente podría escuchar las conversaciones dentro de Fortnite accediendo al sonido grabado por el micrófono de los usuarios durante el juego, así como a la información personal almacenada en las cuentas.
Datos bancarios, entre la información expuesta por Fortnite
Otro reporte, ahora de la compañía también especializada en ciber seguridad Check Point, también notó las vulnerabilidades de Fortnite y Epic Games, pero con el agravante específico de que se expusieron datos bancarios y de tarjetas de crédito de los jugadores.
Como mencionamos, a través de estas brechas de seguridad, los ciberatacantes podían hacerse con el control de las cuentas de usuarios de Fortnite, con la posibilidad de hacer compras de objetos del juego con la moneda virtual V-Buck, como ha alertado Check Point a través de un comunicado.
Estas nuevas vulnerabilidades podrían haber sido explotadas sin que el jugador introduzca ningún dato de acceso. Para ello, se aprovecha la infraestructura web de Epic Games y el sistema de autenticación basado en ‘tokens’.