Fortnite'i turvavea avastas Check Point Research 2018. aasta lõpus. See haavatavus võimaldas häkkeritel hõlpsalt andmepüügisüsteemi algatada, saates kasutajatele linke, mis nägid välja nagu sisselogimislehed, kuid tegelikult koristasid kasutajakontosid.

CPR teatas Epic Gamesile veast novembris ja Epic parandas haavatavust nädalaid hiljem. Selle aja jooksul - ja juba mõnda aega enne CPR-i teate saatmist - oli Fortnite'i kasutajatel tõsine pettuseoht.

CPR kirjeldab oma blogis väga tehniliselt, kuidas ärakasutamine toimis. Protsessi sisu oli siiski üsna lihtne:

• Häkkerid kasutavad ära ühekordse sisselogimise süsteemi, mida Fortnite kasutab, mis võimaldab kasutajal Fortnitesse sisse logida teiste kontode abil, näiteks Facebook, Nintendo, Google+ jne.
• Seejärel saadavad häkkerid lingi kasutajale, mis näeb välja legitiimne. Tegelikult aga suunab ta need teise serveri kaudu, mis kraapib nende sisselogimisinfo.
• Kuna link nägi välja legitiimne ja kasutaja ei pidanud oma volikirju tegelikult sisestama, arvab kasutaja, et midagi ei juhtunud.
• Häkkerid hangivad sisselogimisteabe, kontot üle ja kasutavad pettusetehingute tegemiseks lisatud maksevõimalusi.

VastavaltThe Verge, ostavad seda ärakasutust kasutanud häkkerid kaaperdatud kontode abil Fortnite mängusisese valuuta (V-Bucks), kingivad need V-Bucksid teisele kontole ja müüvad seejärel V-Bucksi soodushinnaga teistele pimedas veebis olevatele mängijatele .

Fortnite teenib mängusisest müügist miljardeid dollareid, nii et see petlik tegevus võib olla üsna tulus.

Epic Games ütles oma avalduses: „Meile tehti haavatavustest teadlikuks ja peatselt käsitleti neid. Täname Check Pointi selle tähelepanu juhtimise eest. Nagu alati, julgustame mängijaid oma kontosid kaitsma, kui nad ei kasuta paroole ega kasuta tugevaid paroole ega jaga kontoga seotud andmeid teistega. ”

Ehkki see haavatavus on nüüd paigas, peaks see kõigile meelde tuletama, et kasutage tugevaid paroole, muutke neid sageli ja sisestage mandaadid ainult usaldusväärsetele veebisaitidele.