Os cibercriminosos que explorarem esta falha podem ter acesso completo às contas e informações pessoais dos utilizadores, conseguem fazer compras com a moeda virtual do jogo usando os dados de cartões de crédito das vítimas e podem também espiar os utilizadores porque conseguem ouvir os sons envolventes durante as sessões de jogo. A falha foi detetada pelos investigadores da Check Point e tira partido do processo de login dos utilizadores. A empresa já comunicou os detalhes da fragilidade à Epic e a situação já se encontra resolvida.
Segundo esta equipa, foram encontradas três falhas de segurança na infraestrutura web da Epic Games e a utilização de um processo de autenticação baseado em tokens, em conjunto com o sistema Single Sign-On no Facebook, Google e Xbox pode ser aproveitada para roubar as credenciais de acesso e apropriação das contas, explica o comunicado de imprensa.
O ponto de partida para o atacante é o envio de um link de phishing que o utilizador tem de clicar para que o token seja capturado pelo hacker, sem que o investigador tenha digitado nenhuma credencial. As potenciais vulnerabilidades podem ser originadas pelas falhas encontradas em dois subdomínios da Epic Games que estavam suscetíveis de serem redirecionados de forma maliciosa.
«Juntamente com as vulnerabilidades recentemente descobertas nas plataformas usadas pela fabricante de drones DJI, mostrou-se o quão suscetíveis as aplicações cloud são aos ciberataques e às brechas de segurança. Estas plataformas estão a ser, cada vez mais, alvo dos ataques de hackers, graças à grande quantidade de informação sensível que armazenam. Aplicar uma autenticação de dois fatores pode ajudar a mitigar a vulnerabilidade que faz com que as contas dos utilizadores sejam invadidas», afirmou Oded Vanunu, Head of Products Vulnerability Research da Check Point.
A principal recomendação dos investigadores passa pela política de autenticação de dois fatores.