Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

Fortnite Quelle EdmundOConnor Shutterstock Com700

Bild: Edmund O’Connor / Shutterstock.com

Sicherheitsforscher von Check Point gaben Details der Sicherheitslücken bekannt, die für alle Spieler des äußerst beliebten Online-Shooters Fortnite hätten Folgen haben können.

Fortnite verzeichnet weltweit nahezu 80 Millionen Spieler. Das Spiel ist auf allen Gaming-Plattformen, wie Android, iOS, PC über Microsoft Windows sowie auf Konsolen, wie Xbox One und Play Station 4, populär. Neben Freizeitspielern nutzen Fortnite auch professionelle Gamer, die ihre Sessions online streamen. 

Hätten Angreifer die Sicherheitslücke ausgenutzt, hätten sie vollen Zugriff auf die Konten und persönlichen Daten der Nutzer erlangt und wären somit in der Lage gewesen, über die Kreditkartendaten des Opfers virtuelle In-Game-Währung zu kaufen. Die Schwachstelle hätte auch einen massiven Eingriff in die Privatsphäre bedeutet. Dem Hacker wäre es möglich gewesen, die In-Game-Gespräche sowie die Umgebungsgeräusche und Unterhaltungen im Haus des Opfers oder an anderen Spielorten mitzuhören.

Fortnite-Spieler waren schon früher Ziel von Betrugsversuchen. Hierbei war es das Ziel sie zu verleiten, sich in gefälschte Webseiten einzuloggen, die versprachen, „V-Buck“, die In-Game-Währung von Fortnite, zu generieren. Die neuen Sicherheitslücken hätten jedoch ohne eine aktive Beteiligung der Spieler genutzt werden können und somit ohne die Preisgabe der Log-in-Daten.

Aufgrund dreier Sicherheitslücken, die in der Webinfrastruktur von Epic Games gefunden wurden, waren die Forscher in der Lage, den Token-basierten Authentifizierungsprozess nachzuahmen, der dann in Verbindung mit Single-Sign-On-Systemen (SSO), wie Facebook, Google und Xbox genutzt wurde, um die Zugangsdaten von Nutzern zu stehlen und ihre Konten zu übernehmen.

Um Opfer dieses Angriffs zu werden, muss ein Spieler lediglich einen manipulierten Phishing-Link anklicken, der von einer Domain von Epic Games kommt, um alles sicher erscheinen zu lassen. Tatsächlich aber wurde der Link vom Angreifer versandt. Sobald der Nutzer den Link angeklickt hat, könnte das Fortnite-Authentifizierungstoken vom Angreifer abgefangen werden, ohne dass der Nutzer seine Login-Daten eingeben muss.

Laut Angaben der Forscher entstanden die potentiellen Sicherheitslücken durch Fehler, die in zwei Unterdomänen von Epic Games gefunden wurden und eine bösartige Umleitung ermöglicht hätten. Dadurch wäre es einem Hacker möglich gewesen, die legitimen Authentifizierungstokens der Nutzer von der kompromittierten Unterdomäne abzufangen.

Check Point und Epic Games raten allen Nutzern wachsam zu bleiben, wann immer Informationen digital ausgetauscht werden, sowie sichere Cyberpraktiken anzuwenden. Benutzer sollten auch die Legitimität von Links zu angeblichen Informationen, die in Nutzerforen und auf Webseiten zu sehen sind, infrage stellen.

Organisationen müssen in ihrer IT-Infrastruktur gründliche und regelmäßige Hygienechecks vornehmen, damit gewährleistet ist, dass keine veralteten und ungenutzten Seiten oder Zugriffspunkte online sind. Darüber hinaus ist es gute Praxis, alle veralteten Webseiten oder Unterdomänen zu überprüfen, die vielleicht noch online sind, aber nicht mehr genutzt werden.

Um die Gefahr zu minimieren, Opfer eines Angriffs zu werden, bei dem Sicherheitslücken wie diese ausgenutzt werden, sollten Benutzer die Zwei-Faktor-Authentifizierung aktivieren. Dadurch ist gewährleistet, dass der Spieler, wenn er sich von einem neuen Gerät aus in sein Konto einloggt, einen Sicherheitscode eingeben muss, der zuvor an die E-Mail-Adresse des Kontoinhabers geschickt wurde. Wichtig ist auch, dass Eltern ihre Kinder auf die Gefahr von Online-Betrug aufmerksam machen und warnend darauf hinweisen, dass Cyberkriminelle alles tun, um Zugriff auf persönliche und finanzielle Daten zu erlangen, die Teil des Online-Kontos eines Gamers sein können.

www.checkpoint.com

GRID LIST
Trojaner

Der Trojaner Emotet ist weiterhin nicht zu stoppen

Der gefährliche Trojaner „Emotet“ hält Unternehmen, Behörden und Privatpersonen auf Trab.…
Tb W190 H80 Crop Int 97c30d94fa4781aa0faf0e0519d1928e

TajMahal: Spionageplattform mit 80 schädlichen Modulen

Die Experten von Kaspersky Lab haben ein technisch ausgereiftes Cyberspionage-Framework…
Scam Alert

Scam-Welle - Sex sells?

Cyberkriminelle versuchen derzeit im großen Stil, mit Fake-Mails Geld von ahnungslosen…
Hacker WhatsApp

Trojaner nutzt Android-Schwachstelle und liest bei WhatsApp mit

Die Virenanalysten von Doctor Web haben den gefährlichen Trojaner Android.InfectionAds.1…
Tb W190 H80 Crop Int 59fff81447714b973594e81d9ea35005

Neue Malware Scranos auf dem Vormarsch

Bitdefender Lab hat Informationen über die Verbreitung der neuen Malware „Scranos“…
Zero-Day-Exploit

Kritische Schwachstelle im Windows-Betriebssystem

Kaspersky Lab hat eine zuvor unbekannte Schwachstelle – eine so genannte…