Fortnite漏洞暴光 駭客可盜取玩家帳號、數據與遊戲貨幣

知名大逃殺遊戲Fortnite驚爆駭人漏洞，攻擊者可隨意獲得玩家帳號及遊戲貨幣。全球網絡安全解決方案提供商 Check Point® 軟件科技有限公司（納斯達克：CHKP）的研究人員近日公布了Fortnite漏洞詳情Fortnite是一款非常受歡迎的線上戰鬥遊戲，這款遊戲的所有玩家都可能會成為該漏洞的受害者。

Fortnite在全球擁有近 8000 萬玩家，受到所有遊戲平台玩家的熱愛，包括Android、iOS、Microsoft Windows 電腦以及 Xbox One 和 PlayStation 4 等遊戲機。除了業餘玩家外，職業玩家亦會進行Fortnite的線上遊戲直播，而且也深受電競愛好者的歡迎。

漏洞一旦遭到利用，攻擊者便能夠完全獲取用戶帳號和個人信息，以及使用受害者的支付卡購買虛擬遊戲貨幣。此外，攻擊者還可大肆侵犯玩家個人隱私，例如偷聽遊戲聊天以及受害者家中或其他遊戲場所周圍的聲音和對話。儘管Fortnite玩家之前曾遭欺騙攻擊，即引誘他們登錄承諾生成Fortnite “V-Buck”遊戲貨幣的虛假網站，但這些新漏洞無需玩家提供任何登錄細節便能夠被黑客利用。

研究人員概括了攻擊者如何通過在Fortnite用戶登錄過程中發現的漏洞來獲取用戶帳號。研究人員在 Epic Games 的網絡基礎設施中發現了三個漏洞缺陷，得以發現攻擊者如何同時利用基於令牌的身份驗證流程和單點登錄 (SSO) 系統（如Facebook、Google、Xbox）盜取用戶訪問憑證和帳號。

玩家只要點擊來自 Epic Games 域名、經過精心設計的網絡釣魚鏈接便會受到攻擊，雖然鏈接看起來很正常，但卻是由攻擊者發送的。點擊該鏈接後，用戶即便沒有輸入任何登錄憑證，攻擊者也可輕鬆獲取其Fortnite的身份驗證令牌。Check Point 研究人員稱，Epic Games 兩個子域名中的缺陷產生的潛在漏洞極容易遭到惡意重定向，從而導致用戶的合法身份驗證令牌被黑客通過受到攻擊的子域名攔截。

Check Point產品漏洞研究負責人Oded Vanun表示：「Fortnite是在線玩家中最流行的遊戲之一。這些缺陷為攻擊者大肆侵犯隱私提供了可乘之機。我們近日還在主流無人機制造商所用的平台中發現了漏洞，這些缺陷和漏洞說明雲端應用極易遭受攻擊和破壞。這些平台擁有大量的敏感客戶數據，因此，為越來越多的黑客所窺伺。實施雙重因素身份驗證能夠幫助緩解這種賬戶竊取漏洞。」

Check Point 已經向 Epic Games 通知了該漏洞（現已修覆）的存在。Check Point 和 Epic Games 建議所有用戶在交換數字信息時保持警惕，並且在與他人進行線上互動時養成安全的網絡習慣。 對於在用戶論壇和網站上看到的信息鏈接，用戶應當對其合法性保持懷疑的態度。

企業必須對其 IT 基礎設施進行全面和定期的安全檢查，確保過期和不用的網站或訪問點已經下線。此外，企業亦應對已經不使用但仍然在線的過期網站或子域名進行審查。

為了最大限度地降低此類漏洞帶來的威脅，用戶應該啟用雙重因素身份驗證，確保在新設備上登錄賬戶時，需要輸入發送到賬戶持有人電子郵箱中的驗證碼。同樣重要的是，家長讓孩子們意識到網絡欺詐的威脅，並警告他們網絡犯罪分子將會不擇手段地獲取玩家線上賬戶中的個人和財務信息。