Fortnite’dagi zaiflik xakerlarga akkauntlarni buzib kirish imkonini beradi.
Tadqiqotchilar mashhur o’yinda bir nechta jiddiy zaifliklarni topdilar.
Check Point tadqiqotchilari mashhur Fortnite o’yinida zaifliklarni aniqladilar, ulardan biri masofaviy hujumchiga jabrlanuvchini havolani bosishga aldash orqali boshqa birovning akkauntini nazorat qilish imkonini beradi. Ushbu zaifliklar hujumchilarga SQL in’ektsiyasini, saytlararo skriptlarni (XSS) amalga oshirish, veb-ilovalarning xavfsizlik devorlarini chetlab o’tish va OAuth orqali akkauntlarni egallash imkonini beradi. Fortnite o’yinchilari o’z o’yin akkauntlariga uchinchi tomon xizmatlari (Facebook, Google, Xbox va PlayStation) orqali Single Sign-On (SSO) yordamida kirishlari mumkin. Tadqiqotchilarning fikriga ko’ra, Epic Games subdomenlaridagi XSS hujumlari va zararli yo’naltirishlarga imkon beruvchi zaifliklardan foydalanib, hujumchi foydalanuvchini zararli havolani bosishga aldash orqali uning avtorizatsiya tokenini o’g’irlashi mumkin.
Boshqa birovning akkauntiga kirish orqali tajovuzkor jabrlanuvchining shaxsiy ma’lumotlarini o’g’irlashi va o’yin ichidagi valyuta va uning nomidan buyumlarni sotib olishi mumkin, keyin ularni boshqa hisobga o’tkazish va qayta sotish mumkin.
SQL in’ektsiyasini amalga oshirishga imkon beruvchi zaiflikdan foydalanib, tajovuzkor foydalanilayotgan MySQL versiyasini aniqlay oladi. Bundan tashqari, tadqiqotchilar Fortnite’ning BIG-IP Application Security Manager (ASM) veb-ilova xavfsizlik devorini chetlab o‘tib, foydalanuvchining kirish jarayoniga XSS hujumini amalga oshirishga muvaffaq bo‘lishdi.
Epic Games o’tgan oyning o’rtalarida zaifliklarni tuzatdi.
