© APA/AFP/FREDERIC J. BROWN / FREDERIC J. BROWN

Games
01/16/2019

Fortnite hatte gravierendes Sicherheitsproblem

Über einen infizierten Link war es möglich, die Login-Daten von Fortnite-Nutzern zu stehlen.

Das erfolgreiche Spiel Fortnite von Epic Games hatte zum Jahreswechsel rund 200 Millionen registrierte Spieler. Das Spiel selbst ist kostenlos, aber man kann gegen Bezahlung das Aussehen seines Charakters verändern oder aber wichtige oder seltene Accessoires erwerben. Dadurch wird das Spiel auch für Kriminelle interessant.

Sicherheitsforscher von Check Point haben nun drei gravierende Sicherheitslücken gefunden, mit denen es möglich war, die Login-Daten von Fortnite-Nutzern zu stehlen, ohne dass die ihre Daten überhaupt eingeben mussten.

XSS und Single-Sign-On

Es war damit möglich, sich über eine Technik namens Cross-Site-Scripting (XSS) Zugriff auf alte Server von Epic Games zu verschaffen und so das Vertrauen der Nutzer zu gewinnen, die auf einen Link klickten. Alleine mit dem Klick auf den Link könnte man die Login-Daten stehlen. Und das Vertrauen gewinnt man leicht, gaukelt man den Usern eine Promo-Aktion von Fortnite vor.

Die Forscher von Check Point haben ihre Erkenntnisse mit den Machern von Fortnite Anfang November geteilt. Ein paar Wochen später wurden die Sicherheitslücken behoben, wie „Wired“ berichtet. Ausgenutzt werden konnte eine der Lücken etwa auch dann, wenn man „Single-Sign-On“ aktiviert hatte – also sich mit den Daten seines Facebook- oder Twitter-Accounts beim Spiel einloggte.

Die Forscher von Check Point betonen, dass „Single-Sign-On“ ein generelles Problem sei, da heutzutage viele Cyberkriminelle versuchen würden, die Accounts von Nutzern zu übernehmen, um sich dann auf den restlichen Profilen und Plattformen umzusehen oder Schaden anzurichten. Das sei ein beliebter Angriffsvektor, so Oded Vanunu, Sicherheitsfoscher bei Check Point.

Passwörter-Tipps für Nutzer

Bei Fortnite kann man sich mit seinem Facebook-, Google-, Play Station Network-, Xbox Live- oder Nintendo-Account anmelden. Haben Angreifer Zugang zu diesen Daten erlangt, können sie freilich auch in den anderen Accounts Schaden anrichten.

Epic Games scheint keine weiteren Aktionen zu setzen, nachdem die Sicherheitslücken gestopft worden sind. „Wir bedanken uns bei Check Point dafür, dass sie sich damit bei uns gemeldet haben. Wie immer fordern wir unsere User dazu auf, ihre Accounts zu schützen, indem sie keine Passwörter wiederverwenden, starke Passwörter wählen und die Accounts nicht mit Dritten teilen.“

Schon in der Vergangenheit war es immer wieder dazu gekommen, dass Fornite-Accounts von Kriminellen übernommen worden waren. BBC hatte sich in einer ausführlichen Videoreportage denjenigen gewidmet, die hinter derartigen kriminellen Aktionen stecken. Man nennt sie „Cracker“ und sie eignen sich fremde Fortnite-Profile an, um diese dann weiterzuverkaufen.