ثغرات أمنية في لعبة فورت نايت تتيح للقراصنة الاستيلاء على حسابات اللاعبين

اكتشف باحثون أمنيون في شركة Check Point نقاط ضعف وثغرات أمنية متعددة في لعبة فورت نايت، وهي لعبة معارك ( شبه حربية ) على الإنترنت شائعة للغاية ، إحدى هذه الثغرات تسمح للمخترقين بالاستيلاء عن بعد على حسابات اللاعبين بالكامل وفقط عن طريق خداع المستخدمين بالنقر على رابط لا يدعو للريبة.

تتألف العيوب المكتشفة في لعبة فورتي نايت من : ثغرة SQL injection ، وخطأ (XSS) ، والقدرة على تجاوز تطبيق جدار الحماية، والأهم من ذلك ثغرة تسمح بالاستحواذ على حساب OAuth بالكامل.

قد يشكل الاستحواذ الكامل على الحساب كابوسًا للعديد من اللاعبين ، خاصة في هذه اللعبة الشعبية جداً على الإنترنت حيث يتم التفاعل داخل عالمها من قبل 80 مليون مستخدم من جميع أنحاء العالم ، كما تم بيع أحد حساب Fortnite على eBay بأكثر من 50،000 دولار.

تسمح لعبة فورت نايت لمستخدميها بتسجيل الدخول إلى حساباتهم باستخدام خدمات (SSO) لشركات أخرى ، مثل استخدام حسابات Facebook و Google و Xbox و PlayStation لتسجيل الدخول إلى اللعبة.

ووفقًا للباحثين ، فإن الدمج بين العيب البرمجي (XSS) ومشكلة إعادة التوجيه على النطاقات الفرعية لـ Epic Games يسمح للمهاجمين أو المخترقين بسرقة رمز المصادقة الخاص بالمستخدمين وفقط عن طريق خداعهم للنقر على رابط ويب مصمم خصيصًا للحمولة الخبيثة والتي تسمح بالاستحواذ على المستخدم.

وعند إتمام عملية الاستحواذ يتمكن المخترق  من الوصول إلى المعلومات الشخصية للاعبين وإلى جميع اتصالات الضحية داخل اللعبة والمحادثات التي يعقدها اللاعب وأصدقائه أثناء اللعب، والتي يمكن إساءة استخدامها واستغلال خصوصية صاحب الحساب، كما تمكنه من شراء العملات الافتراضية في اللعبة ، وشراء المعدات والتي سيتم نقلها بعد ذلك إلى حساب منفصل آخر يسيطر عليه المهاجم ومن ثم يتم إعادة بيعه.

وقد علق الباحثون في Check Point ضمن مقالهم المنشور على مدونة الشركة :

يمكن للمستخدمين أن يشهدوا عمليات شراء ضخمة من العملات داخل اللعبة تتم عن طريق بطاقاتهم الائتمانية ، حيث يقوم المهاجم بتحويل تلك العملة الافتراضية ليتم بيعها نقداً في العالم الحقيقي

بعد كل شيء ، وكما ذكرنا أعلاه فقد رأينا بالفعل عمليات احتيال مشابهة يتم تطبيقها وتعمل على استغلال رواج وشعبية فورت نايت.

بالإضافة إلى الثغرات التي تؤدي للاستحواذ على الحساب، تمكن الباحثون أيضًا من تجاوز نظام الجدار الناري الخاص بالبنية التحتية لـ Fortnite والذي تم تكوينه وضبطه بشكل سيئ على حد وصفهم والذي ساعدهم في تنفيذ هجوم XSS عبر الموقع بنجاح على عملية تسجيل دخول المستخدم.

بالطبع قامت Check Point بإبلاغ شركة Epic Games عن وجود نقاط الضعف في Fortnite والتي أصلحتها الشركة قبل بداية عام 2019 بأيام. وتوصي كل من Check Point و Epic Games جميع مستخدمي فورتي نايت بتوخي الحذر أثناء تبادل أي معلومات رقميًا والتشكيك في مصدر الروابط والبحث عن المعلومات المتوفرة لأمانها وشرعيتها  في المنتدى الخاص باللعبة ومواقع فورت نايت الأخرى, ولحماية الحسابات من التعرض للاختطاف, يُنصح اللاعبون أيضًا بتفعيل ميزة المصادقة الثنائية (2FA) والتي تحث المستخدمين على إدخال رمز أمان يتم إرساله إلى بريدهم الإلكتروني عند تسجيل الدخول إلى لعبة فورت نايت.