Fortnite: User-Accounts konnten über Bug im Login gekapert werden

Nutzer des Erfolgs-Games Fortnite sollten vorsichtshalber nachschauen, ob in der letzten Zeit ihre Kreditkartendaten missbraucht wurden. Denn dies könnte an einer Sicherheitslücke liegen, die über einige Zeit in dem Spiel enthalten war. Die Entwickler bei Epic Games haben das Problem inzwischen behoben.
Shooter, Epic Games, Fortnite, Epic, Videospiel Charaktere
Epic Games
Der Bug war im Login-System zu finden, bei dem umfassend auf Single Sign On (SSO)-Anbieter wie Facebook, Google, Microsoft oder Amazon zurückgegriffen wird. Über die Schwachstelle konnten sich Angreifer einen kompletten Zugang zum jeweiligen Nutzerkonto verschaffen und so nicht nur die dort hinterlegten Informationen auslesen und beim eingebauten Audio-Chat mithören, sondern eben auch auf Zahlungsdaten zurückgreifen.

Eingeleitet wurden die Angriffe jeweils mit entsprechend manipulierten Links in verschiedenen Phishing-Kampagnen, die dafür sorgten, dass die Schwachstelle angesprochen wurde. Auf diese Weise konnten Angreifer sich Zugang zu den SSO-Tokens verschaffen, mit denen die Nutzer gegenüber der Anwendung authentifiziert wurden.


SSO-Token abschalten nicht trivial

Die Sicherheitsforscher von Check Point, die das Problem entdeckt hatten, gehen davon aus, dass die Schwachstelle irgendwann im Laufe des letzten Jahres entstanden ist. Im November erfolgte dann die Meldung an die Entwickler, von denen der Bug dann beseitigt wurde. Inzwischen dürften alle aktiv genutzten Fortnite-Installationen auf einem Stand sein, bei dem das Problem nicht mehr existiert.

In einer Stellungnahme erklärte Epic zwar, dass man die Nutzer ermutige, sichere Zugangsdaten zu verwenden - doch hilft das eben nicht, wenn sich die User letztlich aus lauter Bequemlichkeit über den ebenfalls angebotenen SSO-Anbieter registrieren. Wenn hier dann Probleme auftauchen, dürften die meisten User auch erst einmal vor einem Problem stehen - denn eine einfache Änderung des Passwortes genügt nun nicht mehr. Vielmehr muss der User sich beispielsweise durch die Facebook-Einstellungen klicken und dort den Login-Token für die jeweilige Anwendung ungültig machen.

Grundsätzlich zeigt sich an dem Fall wieder einmal, dass der bequemere Weg meist der unsicherere ist. Nutzer sollten sich auch dann, wenn SSO-Optionen zur Verfügung stehen, für eine individuelle Anmeldung entscheiden - die natürlich über ein Passwort verfügt, das nirgendwo sonst zum Einsatz kommt. Dabei sind Passwort-Manager hilfreich.

Siehe auch:

Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:35 Uhr YV 520mb/s USB SticksYV 520mb/s USB Sticks
Original Amazon-Preis
39,99
Im Preisvergleich ab
?
Blitzangebot-Preis
31,99
Ersparnis zu Amazon 20% oder 8
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!