Der Shooter Fortnite ist aktuell das weltweit meistgespielte Videospiel auf den PCs, und Millionen von Spielern spielen es rund um die Uhr. Die Entwickler des Free-to-Play-Shooters verdienen ihr Geld mit In-App-Käufen während des Spiels, weshalb auch viele dieser Spieler ihren Fortnite-Account mit Zahlungsmitteln verknüpft haben, um den Fortnite Store auch nutzen zu können.

Deshalb gibt es inzwischen immer öfter neben FIFA- und Counterstrike-Spielerkonten auch Angriffe auf Fortnite-Accounts. Gerade haben Sicherheitsforscher der Firma Checkpoint herausgefunden, wie Angreifer einfache nur durch einen manipulierten Link die Kontrolle über fremde Fortnite-Accounts erlangen konnten.

Ein XSS-Angriff auf OAuth-Session

Inzwischen hat das Fortnite-Entwicklerstudio Epic Games die dabei ausgenutzte Sicherheitslücke in den eigenen Systemen schon behoben. Die Sicherheitsforscher von Checkpoint hatten festgestellt, dass über bestimmte Subdomains auf den Servern von Epic, die selbst eigentlich nichts mit Fortnite zu tun hatten, Cross-Site-Scripting-Angriffe (XSS) erlaubten.

So konnte ein Angreifer einem Fortnite-Spieler beispielsweise über eine Messenger-Nachricht oder ein soziales Netzwerk einen solchen Link unterzujubeln, der beim Klick durch das Opfer dessen OAuth-Login-Token an die Website des Angreifers weitergab.

Dieser Angriff war allerdings nur erfolgreich abzuschließen, wenn der angegriffene Spieler sein Fortnite-Konto über Single Sign-on mit einem anderen Dienst wie beispielsweise Facebook, Nintendo, Google, dem PlayStation Network oder XBox Live verknüpft hatte.