Zurzeit ist der Shooter Fortnite das weltweit meistgespielte Videospiel auf dem PC, und viele Millionen Spieler spielen es zu jeder Tages- und Nachtzeit. Weil die Entwickler des Free-to-Play-Shooters ihr Geld mit In-App-Käufen im Spiel verdienen, haben auch viele dieser Spieler ihren Fortnite-Account mit Zahlungsmitteln verknüpft, damit sie den Fortnite Store auch nutzen zu können.

Das wissen natürlich auch Cyberkriminelle, die es inzwischen immer öfter neben FIFA- und Counterstrike-Spielerkonten auch auf Fortnite-Accounts abgesehen haben. Jetzt haben Sicherheitsforscher herausgefunden, wie solche Angreifer einfache nur durch einen manipulierten Link die Kontrolle über ein fremdes Fortnite-Konto erlangen konnten.

Der XSS-Angriff auf OAuth-Session

Das Fortnite-Entwicklerstudio Epic Games hat die Sicherheitslücke in den eigenen Systemen inzwischen schon behoben. Die Entwickler waren von der Sicherheitsfirma Checkpoint auf den möglichen Angriff aufmerksam gemacht worden. Die Sicherheitsforscher von Checkpoint hatten festgestellt, dass über bestimmte Subdomains auf den Servern von Epic, die selbst eigentlich nichts mit Fortnite zu tun hatten, Cross-Site-Scripting-Angriffe (XSS) möglich waren.

Auf diesem Weg konnte ein Angreifer einem Fortnite-Spieler zum Beispiel über eine Messenger-Nachricht oder ein soziales Netzwerk so einen Link unterschieben, der beim Klick durch das Opfer dessen OAuth-Login-Token an die Website des Angreifers weitergab. Um das zu missbrauchen, bräuchte der Angreifer nur eine überzeugende Angriffswebsite erstellen und Fortnite-Spieler dort hin locken.

Dieser Angriff klappte allerdings nur, wenn der Spieler sein Fortnite-Konto via Single Sign-on mit einem anderen Dienst verknüpft hat, beispielsweise Facebook, Nintendo, Google, dem PlayStation Network oder XBox Live.