Om sårbarheten utnyttjades skulle den ha gett hackare full åtkomst till användarkonton och deras personliga uppgifter. På så sätt kunde hackare bland annat köpa valuta i spelet med hjälp av offrets kortuppgifter. Hackare ska också ha kunnat lyssna på konversationer i spelet samt omgivande ljud och konversationer i offrets hem eller på andra ställen.

Spelare av Fortnite har tidigare blivit utsatta för bedrägerier som lurat dem att logga in på falska webbplatser för att generera valuta i spelet. Denna nya sårbarhet har dock kunnat utnyttja spelare utan att de har överlämnat några inloggningsuppgifter.

Check Points forskare har redogjort för processen där hackare potentiellt har kunnat få tillgång till användarkonton genom sårbarheter som upptäckts i Fortnites inloggningsprocess. På grund av tre brister som hittades i Epic Games webbinfrastruktur kunde forskarna visa att den token-baserade autentiseringsprocessen använts tillsammans med SSO (Single Sign-On)-system, såsom Facebook, Google och Xbox, för att stjäla användaruppgifter och konton.

En spelare behöver bara klicka på en skapad phishing-länk från en Epic Games-domän för att falla offer – länken verkar transparent, men har skickats av angriparen. När spelaren väl har klickat kan dennes autentiseringstoken i Fortnite fångas av angriparen utan att användaren anger några inloggningsuppgifter.

Enligt Check Point har den potentiella sårbarheten uppstått av brister som finns i två av Epic Games subdomäner som varit mottagliga för skadlig omdirigering.

– Fortnite är ett av de mest populära spelen och spelas främst av barn. Dessa brister möjliggjorde ett omfattande intrång på privatlivet, säger Oded Vanunu, head of products vulnerability research på Check Point.

Check Point har informerat Epic Games om sårbarheten som nu är åtgärdad. Båda parter rekommenderar alla användare att vara vaksamma när de utbyter information digitalt. Ifrågasätt även legitimiteten av länkar till information som finns på användarforum och andra webbplatser.

Enligt Check Point bör användare också aktivera tvåfaktorsautentisering, vilket innebär att en säkerhetskod som skickas via epost måste anges vid inloggning på en ny enhet.