Fortnite漏洞允许黑客接管玩家的帐户

报告的Fortnite漏洞包括SQL注入、跨站点脚本（XSS）漏洞、web应用程序防火墙绕过问题，以及最重要的OAuth帐户接管漏洞。

全账户接管可能是一场噩梦，尤其是对于全球8000万用户玩过的如此受欢迎的在线游戏的玩家来说，当一个好的Fortnite账户在eBay上以超过5万美元的价格售出时。

Fortnite游戏允许玩家使用第三方单点登录（SSO）提供商（如Facebook、谷歌、Xbox和PlayStation帐户）登录自己的帐户。

根据研究人员的说法，跨站点脚本（XSS）缺陷和Epic Games子域上的恶意重定向问题相结合，使得攻击者可以通过诱骗用户点击精心制作的web链接来窃取用户的身份验证令牌。

一旦受到攻击，攻击者就可以访问玩家的个人信息，购买游戏中的虚拟货币，并购买游戏设备，然后将这些设备转移到攻击者控制的单独帐户并转售。
Check Point的研究人员在今天发布的博客文章中解释说：“用户很可能会看到在他们的信用卡上购买大量游戏内货币，攻击者将虚拟货币转移到现实世界中以换取现金。”。

“毕竟，如上所述，我们已经看到类似的骗局在Fortnite人气的背后运作。”

攻击者甚至可以访问玩家及其朋友在游戏期间与受害者的所有游戏内联系人和对话，这些联系人和对话随后可能被滥用，以利用帐户所有者的隐私。

其中一款Epic游戏包含一个SQL注入漏洞，如果被利用，攻击者可能会识别正在使用哪个版本的MySQL数据库。
除此之外，研究人员还能够绕过Fortnite基础设施使用的配置不佳的web应用程序防火墙系统，成功地对用户登录过程执行跨站点脚本攻击。

Check Point的研究人员将公司在12月中旬修复的Fortnite漏洞通知了Epic Games的开发者。

Check Point和Epic Games都建议所有Fortnite用户在以数字方式交换任何信息时保持警惕，并质疑用户论坛和其他Fortnite网站上可用信息链接的合法性。

为了保护自己的帐户不被劫持，玩家还建议启用双因素身份验证（2FA），这会提示用户在登录Fortnite游戏时输入发送到其电子邮件的安全代码。