Fortnite: un bug nell'autenticazione lasciava gli account esposti a rischi di aggressione

Fortnite è uno di quei titoli videoludici di cui tutti parlano. Realizzato da Epic Games e People Can Fly è uno dei “fenomeni” del momento con i giocatori possono ricevere ricompense per ogni missione portata a termine.
È previsto l’utilizzo di V-Bucks ovvero una valuta di gioco (1.000 V-Bucks al momento costano 10 dollari) che consente di ottenere anche aggiornamenti.
La popolarità di Fortnite è sconfinata: le statistiche ufficiali parlano di oltre 78 milioni di giocatori attivi mensilmente e di oltre 200 milioni di utenti registrati.

I ricercatori di Check Point hanno però dimostrato che nonostante la diffusione planetaria di Fortnite, la piattaforma su cui si basa il videogioco soffriva di alcuni gravi problemi di sicurezza.
In particolare, la combinazione di una falla XSS (cross-site scripting) e di un problema legato al meccanismo di single sign-on (SSO) ha esposto a rischi gli account di milioni di utenti.

I sistemi di SSO sono in sé validi e consentono di spostare su una terza parte o intermediario (ad esempio Google, Facebook, X-Box, PlayStation,…) le attività di autenticazione di ciascun utente. L’accesso alla risorsa richiesta viene autorizzato previa verifica dell’identità dell’utente e attraverso il rilascio di un token.

Il normale flusso delle informazioni durante il processo di autenticazione mediante SSO è riassunto in figura:

Come si spiega da Check Point, Fortnite soffre di un problema di sicurezza collegato con l’imperfetta implementazione del sistema di SSO.
I ricercatori sono infatti riusciti a richiedere per una seconda volta il token di autenticazione dal provider SSO e reindirizzare la risposta verso una pagina arbitraria, utilizzata per rubare il token stesso.

Gli sviluppatori di Epic Games non effettuavano una validazione del dominio permettendo di fatto il reindirizzamento del token verso pagine web controllate da terzi. Sferrando un attacco XSS e servendosi di semplice codice JavaScript, gli esperti di Check Point sono riusciti ad impossessarsi agevolmente del token autorizzativo altrui.

È bastato inviare, ad esempio via email o mediante software per la messaggistica istantanea, un link appositamente congegnato all’utente vittima (in questo caso d’accordo ad effettuare l’esperimento) per sottrarre il suo token e acquisire la sua identità sulla piattaforma Fortnite.

Secondo Check Point non è escluso che le problematiche di sicurezza scoperte e segnalate a Epic Games possano essere già state utilizzate da qualche malintenzionato.

Nel video che ripubblichiamo di seguito, i tecnici di Check Point dimostrano – passo dopo passo – tutte le fasi dell’attacco.

Epic Games ha confermato di aver risolto entrambi i bug di sicurezza dopo la segnalazione pervenuta dai tecnici di Check Point.

Si tratta di un videogioco ma i dati personali conservati nei database di Epic Games, compresi quelli relativi alle transazioni con carta di credito, sono di grande valore per i criminali informatici.
Quanto accaduto, documentato tecnicamente da Check Point in questa pagina dimostra come nella gestione delle procedure di autenticazione degli utenti non si possa dare nulla per scontato.