Deshalb gibt es inzwischen immer öfter neben FIFA- und Counterstrike-Spielerkonten auch Angriffe auf Fortnite-Accounts. Gerade haben Sicherheitsforscher der Firma Checkpoint herausgefunden, wie Angreifer einfache nur durch einen manipulierten Link die Kontrolle über fremde Fortnite-Accounts erlangen konnten.
Ein XSS-Angriff auf OAuth-Session
Inzwischen hat das Fortnite-Entwicklerstudio Epic Games die dabei ausgenutzte Sicherheitslücke in den eigenen Systemen schon behoben. Die Sicherheitsforscher von Checkpoint hatten festgestellt, dass über bestimmte Subdomains auf den Servern von Epic, die selbst eigentlich nichts mit Fortnite zu tun hatten, Cross-Site-Scripting-Angriffe (XSS) erlaubten.
So konnte ein Angreifer einem Fortnite-Spieler beispielsweise über eine Messenger-Nachricht oder ein soziales Netzwerk einen solchen Link unterzujubeln, der beim Klick durch das Opfer dessen OAuth-Login-Token an die Website des Angreifers weitergab.
Dieser Angriff war allerdings nur erfolgreich abzuschließen, wenn der angegriffene Spieler sein Fortnite-Konto über Single Sign-on mit einem anderen Dienst wie beispielsweise Facebook, Nintendo, Google, dem PlayStation Network oder XBox Live verknüpft hatte.