Fortnite: User-Accounts konnten über Bug im Login gekapert werden

Shooter, Epic Games, Fortnite, Epic, Videospiel Charaktere Bildquelle: Epic Games
Nutzer des Erfolgs-Games Fortnite sollten vorsichtshalber nachschauen, ob in der letzten Zeit ihre Kreditkartendaten missbraucht wurden. Denn dies könnte an einer Sicherheitslücke liegen, die über einige Zeit in dem Spiel enthalten war. Die Entwickler bei Epic Games haben das Problem inzwischen behoben. Der Bug war im Login-System zu finden, bei dem umfassend auf Single Sign On (SSO)-Anbieter wie Facebook, Google, Microsoft oder Amazon zurückgegriffen wird. Über die Schwachstelle konnten sich Angreifer einen kompletten Zugang zum jeweiligen Nutzerkonto verschaffen und so nicht nur die dort hinterlegten Informationen auslesen und beim eingebauten Audio-Chat mithören, sondern eben auch auf Zahlungsdaten zurückgreifen.

Eingeleitet wurden die Angriffe jeweils mit entsprechend manipulierten Links in verschiedenen Phishing-Kampagnen, die dafür sorgten, dass die Schwachstelle angesprochen wurde. Auf diese Weise konnten Angreifer sich Zugang zu den SSO-Tokens verschaffen, mit denen die Nutzer gegenüber der Anwendung authentifiziert wurden.


SSO-Token abschalten nicht trivial

Die Sicherheitsforscher von Check Point, die das Problem entdeckt hatten, gehen davon aus, dass die Schwachstelle irgendwann im Laufe des letzten Jahres entstanden ist. Im November erfolgte dann die Meldung an die Entwickler, von denen der Bug dann beseitigt wurde. Inzwischen dürften alle aktiv genutzten Fortnite-Installationen auf einem Stand sein, bei dem das Problem nicht mehr existiert.

In einer Stellungnahme erklärte Epic zwar, dass man die Nutzer ermutige, sichere Zugangsdaten zu verwenden - doch hilft das eben nicht, wenn sich die User letztlich aus lauter Bequemlichkeit über den ebenfalls angebotenen SSO-Anbieter registrieren. Wenn hier dann Probleme auftauchen, dürften die meisten User auch erst einmal vor einem Problem stehen - denn eine einfache Änderung des Passwortes genügt nun nicht mehr. Vielmehr muss der User sich beispielsweise durch die Facebook-Einstellungen klicken und dort den Login-Token für die jeweilige Anwendung ungültig machen.

Grundsätzlich zeigt sich an dem Fall wieder einmal, dass der bequemere Weg meist der unsicherere ist. Nutzer sollten sich auch dann, wenn SSO-Optionen zur Verfügung stehen, für eine individuelle Anmeldung entscheiden - die natürlich über ein Passwort verfügt, das nirgendwo sonst zum Einsatz kommt. Dabei sind Passwort-Manager hilfreich.

Siehe auch:

Shooter, Epic Games, Fortnite, Epic, Videospiel Charaktere Shooter, Epic Games, Fortnite, Epic, Videospiel Charaktere Epic Games
Diese Nachricht empfehlen
Kommentieren3
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 06:10 Uhr WLAN IP Kamera, SAWAKE 1080P HD WiFi Überwachungskamera innen mit Nachtsicht, 2 Wege Audio, Fernalarm, Bewegungserkennung, Mobile App Kontrolle als Home MonitorWLAN IP Kamera, SAWAKE 1080P HD WiFi Überwachungskamera innen mit Nachtsicht, 2 Wege Audio, Fernalarm, Bewegungserkennung, Mobile App Kontrolle als Home Monitor
Original Amazon-Preis
42,99
Im Preisvergleich ab
?
Blitzangebot-Preis
26,89
Ersparnis zu Amazon 37% oder 16,10

Video-Empfehlungen

Tipp einsenden