Проблема безпеки Fortnite виявила Check Point Research наприкінці 2018 року. Ця вразливість дозволила хакерам легко ініціювати фішинг-схему, надсилаючи користувачам посилання, схожі на сторінки входу, але фактично зібрані облікові записи користувачів.

CPR повідомив Epic Games про недолік у листопаді, а Epic виправив уразливість через кілька тижнів. Однак за цей час - і за деякий час, перш ніж CPR надіслав повідомлення - користувачі Fortnite піддавалися серйозному ризику шахрайства.

CPR детально розказує, як саме працював експлуатувач, в дуже технічному поясненні на своєму блозі. Однак суть процесу була досить простою:

• Хакери використовують систему єдиного входу, яку використовує Fortnite, що дозволяє користувачеві входити у Fortnite за допомогою інших облікових записів, таких як Facebook, Nintendo, Google+ тощо.
• Потім хакери надсилають посилання користувачеві, який виглядає законним. Однак він насправді переспрямовує їх через інший сервер, який викреслює їх інформацію про вхід.
• Оскільки посилання виглядало законним і користувачеві не потрібно було фактично вводити свої облікові дані, користувач вважає, що нічого не сталося.
• Хакери отримують інформацію про вхід, обганяють рахунок та використовують додані варіанти оплати для здійснення шахрайських транзакцій.

Згідно зГраниця, хакери, які використовували цей подвиг, купували грошову валюту Fortnite (V-Bucks) за допомогою викрадених акаунтів, дарували ці V-Bucks на інший рахунок, а потім продавали V-Bucks за зниженою ставкою іншим гравцям у темній мережі .

Fortnite заробляє мільярди доларів від продажу в грі, тому ця шахрайська діяльність може бути досить прибутковою.

У заяві компанії Epic Games сказано: "Нам було відомо про вразливості, і вони незабаром були вирішені. Дякуємо Check Point за те, що донесли це до нас. Як завжди, ми рекомендуємо гравцям захищати свої акаунти, не використовуючи повторно паролі та не використовуючи надійні паролі та не ділившись інформацією облікового запису з іншими. "

Незважаючи на те, що ця вразливість зараз виправлена, це повинно нагадувати всім користуватися потужними паролями, часто змінювати їх та вводити лише облікові дані на надійних веб-сайтах.