Atención para los jugadores de Fonite, se ha descubierto una brecha de información en el famoso juego multiplataforma de Epic Gamesque afecta a sus usuarios; dejando al descubierto información que podría ser aprovechada para ganar acceso a las cuentas de los jugadores donde pueden estar registradas sus tarjetas de crédito, pudiendo así comprar mejoras del juego y revenderlas.

Desde hace un tiempo se están detectando ataques de phishing hacia los jugadores de Fornite, pero los investigadores Alon Boxiner, Eran Vaknin y Oded Vanunu de la empresa Check Point decidieron buscar una alternativa más “sofisticada y siniestra” como describen ellos.
A raíz del descubrimiento de una vulnerabilidad XSS en uno de los subdominios de Epic Games, les fue posible conseguir las credenciales de la víctima, a tan solo un click.

El fallo encontrado tiene varios factores que lo hacen posible:

  • Un XSS en un antiguo dominio de Epic Games, http://ut2004stats.epicgames.com, actualmente deshabilitado.
    http://ut2004stats.epicgames.com/index.php?stats=map&SearchName=[Código JS]
  • Un redirector que se pasa como parámetro en la URL que se genera cuando el jugador pulsar ‘Sign In’, y es fácilmente manipulable.
  • El uso de SSO o Single Sign-On, con las plataformas PlayStationNetwork, Xbox Live, Nintendo, Facebook y Google+

 

 

 

Fuente Hispasec

Danos tu reacción

1
Me encanta
0
Me alegra
0
Me sorprende
0
Me entristese
0
Me enoja