Groot beveiligingslek bij Fortnite: miljoenen bankkaartgegevens een tijdlang te grabbel

We overdrijven niet als we stellen dat Fortnite het fenomeen is van het moment. Het aantal spelers is in een jaar tijd exponentieel gegroeid. De game had exact een jaar geleden 40 miljoen spelers. Ondertussen is dat cijfer gestegen tot 200 miljoen. En de populaire dansjes worden door miljoenen kinderen nagebootst.

Fortnite is een game waarbij spelers online met mensen van over heel de wereld spelen. Spelers kunnen binnen het spel ook heel wat dingen kopen. Die betalen ze met V-Bucks (het geld dat gebruikt wordt binnen de game, nvdr.). Die V-Bucks kopen ze binnen de game en betalen ze met echt geld, bijvoorbeeld via een kredietkaart. Omdat de game zo populair is -  en omdat er heel wat geld in circuleert - trekt Fortnite ook de aandacht van mensen met slechte bedoelingen. 

Dat bracht beveiligingspecialist Check Point op het idee om te gaan kijken hoe veilig Fortnite is. De verbazing was dan ook groot toen bleek hoe makkelijk het was om de identiteit van een speler te stelen.

Hoe gingen ze te werk? De hackers van Check Point verstuurden een link naar de nietsvermoedende speler.  De link belooft de speler gratis "V-Bucks". Het enige wat de speler moet doen is daarop klikken. "En daarin schuilt het gevaar", zegt Christof Jacques, Security Engineer bij Check Point. "Als dat gebeurt, krijgt de hacker toegang tot het token dat gebruikt wordt om in te loggen in Fortnite. De hacker kopieert dan dat token en logt in in jouw plaats." Een token is een extra "sleutel" die gelinkt is aan een account wanneer u bijvoorbeeld met Facebook of Google inlogt.

"Het verschil met de klassieke phishingmail, is dat wij erin geslaagd zijn om een bericht door Epic Games (het bedrijf achter Fortnite, nvdr.) te laten sturen. Daardoor denkt het slachtoffer dat de link zonder gevaar is", zegt Oded Vanunu, Head of products vulnerability research van Check Point, vanuit Tel Aviv. "Bij een klassieke phishingmail word je omgeleid naar een andere pagina waarbij je jouw gegevens moet invullen. In dit geval kopieert de hacker de "sleutel" van zodra je erop klikt." Vanunu leidt een team van 200 programmeurs en ethische hackers.

Wat gebeurt er wanneer de hacker is ingelogd? "De hacker kan met een bankkaart virtueel geld, tenues, wapens en dansjes aankopen. Zonder dat je dat weet. Op het einde van de maand krijg je dan de rekening gepresenteerd," zegt Jacques.

David Verbruggen, woordvoerder van de Vlaamse gamesvereniging FLEGA en vader van een zoon die Fortnite speelt, is niet verbaasd over het nieuws. "Fortnite heeft wereldwijd 200 miljoen spelers. Ze spelen niet allemaal tegelijk, maar de game heeft recent nog wel een piek gehaald van 8,3 miljoen spelers op 1 dag. Het is dan ook logisch dat zo'n populaire games mensen met slechte bedoelingen aantrekken. Gelukkig waren dat nu ethische hackers van Check Point."

In deze video toont een hacker hoe hij te werk gaat.

Wat de hackers doen, is volgens Jacques ook een vorm van identiteitsdiefstal. Want eenmaal ingelogd, kunnen ze vanalles doen onder de naam van het slachtoffer. "En het gaat nog verder. Omdat Fortnite online gespeeld wordt, wordt er weleens gesproken. Nu, wij zijn erin geslaagd om gesprekken tussen spelers af te luisteren. Meer nog, wij konden ook gesprekken in de huiskamer volgen", zegt Jacques. Dat komt omdat sommige spelers de micro van de laptop gebruiken. 

De hacker kan het account bijvoorbeeld ook doorverkopen. Fortnite is een gratis game, maar spelers die goed boeren, kunnen heel dure personages creëren. Die zijn dan heel gegeerd op de zwarte markt. Fornite-spelers zijn in het verleden al gehackt, maar volgens Vanunu is dit de eerste keer dat hackers erin zijn geslaagd om Fortnite zelf berichten te laten sturen.

Wat als het toch gebeurt?  Jacques:"Eerst en vooral, je moet dit meteen melden aan Epic Games (de makers van Fortnite, nvdr.). Daarnaast raden we ook altijd aan om met twee factor authenticatie te werken. Dit betekent dat je naast een klassiek wachtwoord ook met een unieke code moet inloggen." 

Wat kan je er als ouder aan doen? Verbruggen vindt dat je in de eerste plaats goede afspraken moet maken met je kinderen. "Ik heb met mijn zoon afgesproken dat hij maximum 10 euro per maand mag uitgeven aan Fortnite. Daarnaast kan je heel wat instellingen in de computer of spelconsole aanpassen. Zo kan zelf bepalen hoeveel jouw kind uitgeeft, hoeveel hij of zij gamet en, niet onbelangrijk, met wie ze babbelen. Zo komen ze niet in contact met malafide figuren", waarschuwt Verbruggen. 

De ethische hackers van Check Point hebben ondertussen Epic Games verwittigd en het lek is ondertussen gedicht. "Gelukkig maar, want als we hackers met slechte bedoelingen waren, was de ravage enorm", zegt Jacques. 

FLEGA heeft een overigens een website opgericht waar ouders met vragen over hun gamende kinderen terecht kunnen.

Bekijk hieronder de reportage van ons jongerenmagazine "Karrewiet":

Het Centrum voor Cybersecurity, de overheidsdienst die waakt over de veiligheid op het internet, waarschuwt nog maar eens voor e-mails en berichten die komen van onbetrouwbare websites: