Epic Games, разработчик Fortnite, судится в коллективном иске после того, как нарушение безопасности позволило хакерам получить доступ к личной информации пользователей с учетными записями Epic Games.
Групповой иск был подан компанией Franklin D. Azar & Associates в окружной суд США в Северной Каролине. В иске упоминается «неспособность Epic принять надлежащие меры безопасности и своевременно уведомлять пользователей о нарушении безопасности». Далее следует отметить, что в судебном процессе участвуют более 100 учеников. Epic признала нарушение еще в январе , предполагая, что ошибка в Fortnite могла раскрыть личную информацию миллионов учетных записей пользователей. Компания исправила проблему, но в иске утверждается, что компания не уведомила пострадавших пользователей о возможности компрометации их личной информации. В заявлении говорится, что истец и кто-либо еще, затронутые нарушениями, «постоянно заинтересованы в том, чтобы их [личная информация] была защищена от прошлых и будущих угроз кибербезопасности».
Исследователи безопасности Check Point обнаружили это нарушение в ноябре 2018 года, прежде чем Epic подтвердил его в январе 2019 года. «Мы были осведомлены об уязвимостях, и вскоре они были устранены», - сказал тогда представитель Epic Games. «Мы благодарим Check Point за то, что обратили на это наше внимание. Как всегда, мы призываем игроков защищать свои учетные записи, не используя повторно пароли и используя надежные пароли, и не передавая информацию об учетных записях другим лицам».
Однако в отчете Check Point подробно описывается эксплойт, которого невозможно избежать постоянными изменениями пароля. «Обнаружив уязвимость, обнаруженную в некоторых поддоменах Epic Games, атака XSS была разрешена, и пользователю просто нужно было щелкнуть ссылку, отправленную ему злоумышленником. После того, как щелкнули мышью, им даже не нужно было вводить какие-либо учетные данные, их имя пользователя и пароль Fortnite могут быть немедленно захвачены злоумышленником».
«Даже если бы у вас [был] продукт безопасности, который искал антифишинг, он не поймал бы [взлом], потому что он исходит из легитимного домена», - сказал руководитель исследования уязвимости продуктов Check Point Oded Vanunu. Oded Vanunu продолжал призывать игроков включить двухфакторную аутентификацию для своих учетных записей Epic. «Взлом токенов - это то, что происходит на всех основных платформах», - продолжил Вануну. «Мы начинаем видеть злоумышленников, ищущих токены».