Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Epic corrige un bug permettant de prendre la main sur un compte Fortnite

Epic corrige un bug permettant de prendre la main sur un compte Fortnite

Le 17 janvier 2019 à 09h15

La société de sécurité Check Point a trouvé un bon support publicitaire. Elle a découvert un problème permettant de prendre la main sur un compte Epic Games, donc Fortnite. Le jeu gratuit compterait environ 200 millions de joueurs, faisant la fortune actuelle de l'éditeur.

Pour être piégé, l'utilisateur doit cliquer sur un lien factice (envoyant vers un sous-domaine d'epicgames.com). En exploitant une faiblesse du sous-domaine, la page renvoie vers un serveur contrôlé par le pirate, avec du code vérolé. Ce code récupère le jeton d'authentification du compte Epic, qu'il envoie au pirate.

L'internaute doit bien sûr être identifié pour que le procédé fonctionne. Le jeton en question permet de lancer le client de jeu Epic. Il est généré une fois les identifiants fournis, pour maintenir l'authentification.

La faille a été rapidement comblée par Epic, qui assure n'avoir aucune preuve d'exploitation.

Le 17 janvier 2019 à 09h15

Commentaires (6)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



La faille a été rapidement comblée par Epic, qui assure n’avoir aucune preuve d’exploitation.



Étonnant

votre avatar

Si le début de la faille est sur leurs serveurs web, ils ont dû faire un grep de tous les logs pour vérifier si des lignes correspondent au pattern d’exploitation.

votre avatar







Ruzgfpegk a écrit :



Si le début de la faille est sur leurs serveurs web, ils ont dû faire un grep de tous les logs pour vérifier si des lignes correspondent au pattern d’exploitation.



Et s’il n’y a pas de log, rien n’a été trouvé. Donc aucune preuve d’exploitation <img data-src=" />


votre avatar

bah c’est dit texto dans la brève : “La faille a été rapidement comblée par Epic, qui assure n’avoir aucune preuve d’exploitation” (soit qu’il n’en n’ont pas cherché, soit qu’il n’y a pas de log, soit…) <img data-src=" />



(je rapproche ce genre de truc des “testé dermatologiquement” ou “testé en laboratoire” sur les produits : ok, le résultat du test c’était quoi ?)

votre avatar

“Avec un jeu de données que nous avons soigneusement construit pour le test, en éliminant les données que nous avons considéré comme erronée et en appliquant cet méthode statistique et sans tenir compte de la variabilité statistique dûe à la faible taille de notre jeu de donnée, c’est statistiquement probant”

votre avatar







WereWindle a écrit :



bah c’est dit texto dans la brève : “La faille a été rapidement comblée par Epic, qui assure n’avoir aucune preuve d’exploitation” (soit qu’il n’en n’ont pas cherché, soit qu’il n’y a pas de log, soit…) <img data-src=" />



(je rapproche ce genre de truc des “testé dermatologiquement” ou “testé en laboratoire” sur les produits : ok, le résultat du test c’était quoi ?)



C’est exactement ca <img data-src=" />


Epic corrige un bug permettant de prendre la main sur un compte Fortnite

Fermer