Esta semana, el ya famoso Battle Royale de Epic Games ha tenido una serie de problemas ocasionados por un fallo de seguridad dentro de su sistema de inicio de sesión. Además de esto también se le suma un fallo de seguridad relacionado con un ataque de phishing mejorado.
Esto ha sido descubierto por Check Point, una empresa especializada en ciberseguridad. El principal problema es dado en el sistema de inicio de sesión a través de los sistemas de Single Sing-On (SSO). Este sistema es el proceso de autenticación con cuentas de terceros como Facebook, Google, PlayStation, Xbox o Nintendo.
Inicio de sesión rápido, pero, ¿seguro?
Al iniciar sesión de esta forma, se guarda un token de autenticación, el cual sirve como una clave digital, la cual mantiene al usuario conectado sin la necesidad de que se tenga que volver a iniciar sesión cada vez que se habrá el juego.
El fallo en este sistema de inicio de sesión se producía cuando se le enviaba una petición al sistema de SSO de recuperación del token. Es ahí cuando podías hacerte con un token auxiliar para poder iniciar sesión con esos credenciales cuando te apetezca.
Después de esto, se tendría pleno control de la cuenta afectada. Pudiendo así acceder a ver los chats del usuario en cuestión y la posibilidad de poder realizar compra de PaVos, que es la moneda virtual del juego. Además de que si el usuario tiene una tarjeta bancaria asociada, se podría hacer uso de ella en la plataforma de Epic Games y en el propio Fortnite.
Brecha en Fortnite
Otra de las vulnerabilidades que se encontraron está directamente relacionada con uno de los dominios o subdominios de Epic Games. Pues como suele ser costumbre dentro de las estafas en internet, el jugador hace click en un link falso que le hubiesen enviado, y este le mandara a una página similar a la de Epic Games, pero falsa. Esto es fruto del desuso de estos dominios, los cuales es recomendable que se controlen periódicamente para así no dejar brechas dentro de la estructura de las páginas que poseen.
Recomendaciones de seguridad
Nuestra recomendación ante este tipo de situaciones, es que tengáis activado un doble factor de autenticación. Este se puede activar desde la configuración de nuestra cuenta vía web. También os recordamos que evitéis dejar vuestras cuentas a terceros y que tengáis cuidado en donde ingresáis vuestros datos, ya que la estafa de hacer click en un link falso es bastante habitual.