2018 के अंत तक चेक प्वाइंट रिसर्च द्वारा एक Fortnite सुरक्षा दोष की खोज की गई थी। भेद्यता ने हैकर्स को आसानी से एक फ़िशिंग योजना शुरू करने की अनुमति दी, जो उपयोगकर्ताओं को लॉगिन पृष्ठों की तरह दिखने वाले लिंक भेजकर, लेकिन वास्तव में उपयोगकर्ता खातों को काटकर भेजती है।
सीपीआर ने नवंबर में एपिक गेम्स को अधिसूचित किया, और एपिक ने बाद के हफ्तों में भेद्यता को कम कर दिया। हालांकि, उस समय के दौरान - और कुछ समय के लिए सीपीआर ने नोटिस भेजा था - फोर्टनाइट उपयोगकर्ताओं को धोखाधड़ी का गंभीर खतरा था।
CPR ने बताया कि कैसे शोषण ने अपने ब्लॉग पर बहुत ही तकनीकी व्याख्या में काम किया। हालाँकि, प्रक्रिया का सार काफी सरल था:
- हैकर्स सिंगल-साइन-ऑन सिस्टम Fortnite का उपयोग करते हैं, जो उपयोगकर्ता को अन्य खातों, जैसे Facebook, Nintendo, Google+, आदि का उपयोग करके Fortnite में प्रवेश करने की अनुमति देता है।
- हैकर तब एक उपयोगकर्ता के लिए एक लिंक भेजते हैं जो कानूनी लगता है। हालांकि, यह वास्तव में उन्हें एक अलग सर्वर के माध्यम से रीडायरेक्ट करता है जो उनकी लॉगिन जानकारी को स्क्रैप करता है।
- चूंकि लिंक वैध दिखती है और उपयोगकर्ता को वास्तव में अपनी साख नहीं दर्ज करनी होती, इसलिए उपयोगकर्ता को लगता है कि कुछ नहीं हुआ।
- हैकर्स लॉगिन जानकारी प्राप्त करते हैं, खाते से आगे निकल जाते हैं, और धोखाधड़ी वाले लेनदेन करने के लिए संलग्न भुगतान विकल्पों का उपयोग करते हैं।
इसके अनुसारकगार, हैकर्स जो इस कारनामे का इस्तेमाल करते थे, अपहृत खातों का उपयोग करके फोर्टनाइट की इन-गेम मुद्रा (वी-बक्स) खरीदेंगे, उन वी-बक्स को दूसरे खाते में गिफ्ट करेंगे और फिर डार्क वेब पर अन्य खिलाड़ियों को वी-बक्स को रियायती दर पर बेचेंगे। ।
फ़ोर्टनाइट इन-गेम की बिक्री से अरबों डॉलर कमाता है, इसलिए यह धोखाधड़ी गतिविधि काफी आकर्षक हो सकती है।
महाकाव्य खेलों ने एक बयान में कहा: “हमें कमजोरियों के बारे में अवगत कराया गया था और उन्हें जल्द ही संबोधित किया गया था। इसे ध्यान में लाने के लिए हम चेक प्वाइंट का धन्यवाद करते हैं। हमेशा की तरह, हम खिलाड़ियों को पासवर्ड का पुनः उपयोग न करके और मजबूत पासवर्ड का उपयोग करके, और दूसरों के साथ खाते की जानकारी साझा न करके अपने खातों की सुरक्षा के लिए प्रोत्साहित करते हैं। ”
यद्यपि यह भेद्यता अब पैच हो गई है, यह सभी को मजबूत पासवर्ड का उपयोग करने, उन्हें अक्सर बदलने और केवल विश्वसनीय वेबसाइटों में क्रेडेंशियल्स दर्ज करने के लिए एक अनुस्मारक होना चाहिए।
