Un & # 039; Fortnite & # 039; Vulnerabilidad expuesta cuentas para la adquisición

Un & # 039; Fortnite & # 039; Vulnerabilidad expuesta cuentas para la adquisición https://media.wired.com/photos/5c3e7539dd72b32c56117f68/191:100/pass/Fortnite-Databreach-Security.jpg

Un & # 039; Fortnite & # 039; Vulnerabilidad expuesta cuentas para la adquisición





Fortnite superó los 200 millones de jugadores registrados a fines de 2018, continuando su racha de Crecimiento masivo y dominio en los juegos en línea.. Pero las plataformas enormes también tienen inevitablemente grandes objetivos en sus espaldas. Fortnite Ya se ha ocupado de su cuota de cuestiones de seguridad digital, en particular estafas como aplicaciones de Android impostores. Ahora, una nueva investigación de la empresa de seguridad de TI Check Point revela un trío de vulnerabilidades en FortniteLa infraestructura web que podría haber permitido a un atacante hacerse cargo de las cuentas de usuario.
Los investigadores de Check Point revelaron sus hallazgos a Fortnite Desarrollador Epic Games a principios de noviembre. La compañía parchó los errores unas semanas después. Las fallas son significativas, sin embargo, porque aparecieron en FortniteLa configuración de inicio de sesión único: un mecanismo que le permite iniciar sesión en múltiples servicios con la misma cuenta. Dichos esquemas, al usar su cuenta de Facebook para iniciar sesión en una aplicación, por ejemplo, hacen que sea más fácil para los usuarios realizar un seguimiento de las credenciales de inicio de sesión sólidas, y pueden reducir las demandas de seguridad de una empresa al subcontratar parte de su infraestructura de autenticación. Pero los servicios de inicio de sesión único, o SSO, también pueden convertirse en un punto único de falla, exponiendo potencialmente las cuentas de usuario no solo en un solo servicio sino en múltiples plataformas.
"Las aplicaciones necesitan hablar con terceros y deben poder transferir datos entre aplicaciones, y muchas plataformas, no solo Epic Games, están cometiendo errores en su implementación de autenticación", dice Oded Vanunu, jefe de investigación de vulnerabilidad de productos en Check Point. . "Los ciberdelincuentes y los actores malintencionados de hoy quieren acceso a las cuentas de los usuarios, porque una vez que estás dentro puedes comenzar a moverte por la nube. Por lo tanto, las tomas de cuentas son un vector de ataque emergente".
Fortnite le permite iniciar sesión con una cuenta de Facebook, Google, Play Station Network, Xbox Live o Nintendo.
Las vulnerabilidades que los investigadores de Check Point descubrieron se podrían jugar unas contra otras para producir el flujo de ataque. Combinaron un error en una URL legítima de Epic Games, un problema con un redireccionamiento de página durante el proceso de inicio de sesión único y un error de consulta en la base de datos que podría combinarse para robar el token de acceso de un usuario, un código de autenticación que SSO genera después del usuario. envía su nombre de usuario y contraseña correctos.
"Si se abusara de esto contra los niños, sería devastador".
Oded Vanunu, Check Point
Para explotar estas fallas, un atacante primero crearía y distribuiría un enlace malicioso, tal vez en un mensaje de un medio de comunicación social o en un mensaje del foro que se refiriera a una Fortnite promoción. El enlace podría acortarse, pero de todos modos sería un enlace legítimo de Epic Games y, por lo tanto, menos sospechoso, apoyándose en la página web vulnerable que encontraron los investigadores. A partir de ahí el ataque se mueve con rapidez. Fortnite los usuarios que hicieron clic en el enlace en un dispositivo donde iniciaron sesión expondrían instantáneamente su token de autenticación para que el atacante lo robara. A partir de ahí, el atacante podría iniciar sesión en el Fortnite cuenta y comience a escuchar las conversaciones de juego, acceda a los datos personales de la cuenta del usuario o realice compras en el juego con la tarjeta de crédito de la cuenta, lo que podría ayudar a los delincuentes " esquemas de lavado de dinero. Los tokens no podían usarse para tomar por separado la cuenta de Facebook de alguien.
Epic ha reparado las fallas, pero siempre es posible que alguien aparte de Check Point haya descubierto el ataque anteriormente. Un portavoz de Epic Games dijo a WIRED: "Agradecemos a Check Point por llamar nuestra atención. Como siempre, alentamos a los jugadores a proteger sus cuentas al no reutilizar contraseñas y usar contraseñas seguras, y no compartir información de cuentas con otros".
Las debilidades en Fortnite nos recuerdan un trío de errores de Facebook que causaron la primera violación de datos a gran escala de la red social, Anunciado en septiembre. En Ese casoLos atacantes también abusaron de los tres errores en conjunto para robar los tokens de autenticación de los usuarios y tomar más de 30 millones de cuentas. Los hackers de Facebook parecen haber estado buscando datos personales, pero tenían acceso completo para hacer lo que quisieran con los perfiles de las víctimas. Y aunque Facebook invalidó las fichas de autenticación que los atacantes robaron y concluyeron que no habían sido objeto de abuso más allá de Facebook, la situación era un importante recordatorio de la Abajo de esquemas de inicio de sesión único.
Check Point's Vanunu señala que la Fortnite El ataque es particularmente preocupante porque muchos de los usuarios del juego son niños. Pero la adquisición total de la cuenta es, por supuesto, una preocupación seria en cualquier caso. "Si se abusara de esto contra los niños, sería devastador", dice Vanunu. "Queremos crear conciencia entre las personas que están creando nuevas aplicaciones en la nube para tomar la seguridad muy seriamente y tomarse el tiempo para revisar cuidadosamente la configuración de autenticación".
Más grandes historias WIRED
    .


FUENTE ORIGINAL DEL ARTICULO LOS MEJORES SITIOS DE TECNOLOGIA
https://www.beviral.online

Comentarios

Publicar un comentario

Entradas populares de este blog

Grupos de privacidad que reclaman anuncios en línea pueden dirigirse a víctimas de abuso

Imagen
Grupos de privacidad que reclaman anuncios en línea pueden dirigirse a víctimas de abuso https://media.wired.com/photos/5c4bd1aaf254572cc21b81f8/191:100/pass/TrackerAdsAreBad%20(1).jpg Grupos de privacidad que reclaman anuncios en línea pueden dirigirse a víctimas de abuso Defensores europeos de la privacidad dicen que el complejo proceso de licitación detrás de la publicidad conductual en línea amenaza la privacidad de los consumidores. Para colocar anuncios en las páginas web, las empresas difunden ampliamente lo que saben sobre un usuario que visita la página, incluidos datos potencialmente confidenciales sobre el tipo de contenido que la persona ve, escucha o lee. Los nuevos documentos presentados el lunes ante los reguladores en Polonia, el Reino Unido e Irlanda afirman que la forma en que se manejan los datos personales durante el proceso de hacer coincidir los anuncios con los espacios publicitarios no cumple con los requisitos de la Unión Europea. Reglamento general de p...
Leer más

¿Puede Apple Watch prevenir los golpes? Nuevo estudio pretende descubrir

Imagen
¿Puede Apple Watch prevenir los golpes? Nuevo estudio pretende descubrir https://static.foxnews.com/foxnews.com/content/uploads/2018/09/dcd037e4-Apple-Event_Vros.jpg ¿Puede Apple Watch prevenir los golpes? Nuevo estudio pretende descubrir Foto del archivo: El CEO de Apple, Tim Cook, habla sobre el nuevo Apple Watch durante un evento de Apple el lunes 9 de marzo de 2015 en San Francisco. (Foto AP / Eric Risberg) manzana El reloj ya ha sido acreditado con salvando vidas alertando a los portadores sobre las condiciones del corazón. ¿Pero puede el smartwatch prevenir golpes? Un nuevo estudio de Johnson & Johnson pretende descubrirlo. La compañía farmacéutica se está asociando con Apple para estudiar si las notificaciones de ritmo irregular del wearable y la aplicación de ECG en el Apple Watch Serie 4 pueden ayudar a acelerar el diagnóstico de fibrilación auricular (una enfermedad cardíaca que puede provocar un accidente cerebrovascular) y mejor...
Leer más

Las empresas ofrecen regalos gratuitos, ofertas especiales de cierre y asistencia a los trabajadores...

Imagen
Las empresas ofrecen regalos gratuitos, ofertas especiales de cierre y asistencia a los trabajadores... https://www.gannett-cdn.com/presto/2019/01/10/USAT/55317dbc-b9c3-4865-aa96-228ae272a325-fazoli.jpg?crop=1240,698,x0,y0&width=3200&height=1680&fit=bounds Las empresas ofrecen regalos gratuitos, ofertas especiales de cierre y asistencia a los trabajadores federales CERRAR Los empleados federales sin permiso recurren a las clases de improvisación durante el cierre del gobierno en el Washington Improv Theatre. Jack Gruber, USA HOY Llámalos "ofertas especiales de apagado" y "regalos gratuitos". Mientras que un acuerdo para poner fin al cierre de gobierno más largo parece estar muy lejos Algunas empresas están ofreciendo a los trabajadores federales con licencia un poco de alivio que va desde comidas gratis, descuentos en restaurantes, aplazamiento de pagos y préstamos sin interés. Alrededor de 800,000 empleados federales han estado sin...
Leer más