Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
▼
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
enero
(Total:
27
)
- Riesgo de robo en coches "sin llave" keyless usand...
- Error en FaceTime de Apple permite activar micrófo...
- Fuentes de Alimentación: potencia, tipos, caracter...
- Novedades WhatsApp: bloqueo por huella dactilar y ...
- La ingeniería fiscal de Google: 12.600 millones de...
- Alertas Phishing: Agencia Tributaria y BBVA - Cues...
- Vulnerabilidad crítica en switches de Cisco permit...
- Vulnerabilidad en el firmware para chips Wi-Fi afe...
- El Consejo Europeo rechaza los artículos 11 y 13
- Solucionan graves fallos de seguridad XSS y SQLi e...
- Vulnerabilidad en Android ES File Explorer expone ...
- Mega filtración masiva récord: 772 millones cuenta...
- Expuestos más de 1.000 expedientes de Erasmus de l...
- Phishing evadiendo segundo factor de autenticación...
- DNS sobre TLS en Android
- Xiaomi presenta Redmi Note 7 con cámara de 48 mega...
- Roban 1,1 millones de dólares en moneda Ethereum C...
- EFF propone cifrar también el correo electrónico
- ¿Los pines extras del socket Intel Z390 no sirven ...
- El juez de iDental imputa al presidente de OVH, He...
- Filtran datos personales de más de mil políticos A...
- Implementan medidas de seguridad para los cables d...
- Hackean más de 72 mil Chromecasts
- ¿Qué es CGNAT? Tipos de NAT
- Herramientas para colorear, quitar fondos, recorta...
- Aplicaciones Android que mandan datos a Facebook s...
- La Unión Europea recompensará la caza de bugs en p...
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
354
)
ransomware
(
340
)
vulnerabilidad
(
303
)
Malware
(
264
)
Windows
(
244
)
android
(
243
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
204
)
hardware
(
193
)
linux
(
125
)
twitter
(
116
)
ddos
(
95
)
WhatsApp
(
91
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
Solucionan graves fallos de seguridad XSS y SQLi en Fortnite
sábado, 19 de enero de 2019
|
Publicado por
el-brujo
|
Editar entrada
La compañía de seguridad Check Point ha explicado tres vulnerabilidades en el registro de cuentas del
videojuego Fortnite que han dejado expuestos los datos personales y de
tarjetas de crédito de los jugadores a través de vulnerabilidades de SQL
Injection y XSS en algunos de los subdominios de la compañía. Check Point ha informado a Epic Games, la desarrolladora de Fortnite,
acerca de las vulnerabilidades de su videojuego, que suma cerca de 80
millones de jugadores a nivel global. En la actualidad, el problema ya
se ha solucionado, según la empresa de ciberseguridad. Actualmente hay más de 200 millones de usuarios registrados y se juegan cerca de 80 millones de partidas al mes.
Fornite es un juego lanzado por Epic Games en julio de 2017. Inicialmente los jugadores tenían que cooperar online para sobrevivir a una epidemia de muertos vivientes que intentan conquistar la Tierra. Posteriormente lanzaron la versión de Battle Royal, que fue la que impulsó este juego a la fama.
Según señala Check Point, el proceso arrancaba con un intento de phishing solicitando al jugador que accediera a su cuenta usando un medio como las interconexiones de Google y Facebook. Lo interesante del método es que no utilizaba una página dudosa en sí misma, sino que sacaba partido al hecho de que el dominio oficial accounts.epicgames.com no había sido validado y por tanto era "susceptible a un redireccionamiento malicioso".
Este subdominio, asimismo, podía ser objeto de un ataque XSS de JavaScript mediante el cual se le podía hacer solicitar el token de autenticación. Una vez reenviado no llegaba al subdominio legítimo sino al creado por el atacante, que podía atrapar esta información y tomar el control de la cuenta del usuario.
Los investigadores Alon Boxiner, Eran Vaknin y Oded Vanunu de la empresa Check Point decidieron buscar una alternativa más “sofisticada y siniestra” como describen ellos.
A raíz del descubrimiento de una vulnerabilidad XSS en uno de los subdominios de Epic Games, les fue posible conseguir las credenciales de la víctima, a tan solo un click.
El fallo encontrado tiene varios factores que lo hacen posible:
Fuentes:
https://unaaldia.hispasec.com/2019/01/xss-en-fornite-permite-el-robo-de-cuentas.html
https://www.elotrolado.net/noticia_un-agujero-en-fortnite-permitia-el-robo-de-cuentas-con-solo-pulsar-un-enlace_39212
- El agujero de seguridad en Fortnite permitía el robo de cuentas con solo pulsar un enlace
- A través de las vulnerabilidades pueden hacerse con el control de las cuentas de usuarios de Fortnite, con la posibilidad de hacer compras de objetos del juego con la moneda virtual V-Buck.
Fornite es un juego lanzado por Epic Games en julio de 2017. Inicialmente los jugadores tenían que cooperar online para sobrevivir a una epidemia de muertos vivientes que intentan conquistar la Tierra. Posteriormente lanzaron la versión de Battle Royal, que fue la que impulsó este juego a la fama.
Según señala Check Point, el proceso arrancaba con un intento de phishing solicitando al jugador que accediera a su cuenta usando un medio como las interconexiones de Google y Facebook. Lo interesante del método es que no utilizaba una página dudosa en sí misma, sino que sacaba partido al hecho de que el dominio oficial accounts.epicgames.com no había sido validado y por tanto era "susceptible a un redireccionamiento malicioso".
Este subdominio, asimismo, podía ser objeto de un ataque XSS de JavaScript mediante el cual se le podía hacer solicitar el token de autenticación. Una vez reenviado no llegaba al subdominio legítimo sino al creado por el atacante, que podía atrapar esta información y tomar el control de la cuenta del usuario.
Los investigadores Alon Boxiner, Eran Vaknin y Oded Vanunu de la empresa Check Point decidieron buscar una alternativa más “sofisticada y siniestra” como describen ellos.
A raíz del descubrimiento de una vulnerabilidad XSS en uno de los subdominios de Epic Games, les fue posible conseguir las credenciales de la víctima, a tan solo un click.
El fallo encontrado tiene varios factores que lo hacen posible:
- Un XSS en un antiguo dominio de Epic Games, http://ut2004stats.epicgames.com, actualmente deshabilitado.
http://ut2004stats.epicgames.com/index.php?stats=map&SearchName=[Código JS]
- Un redirector que se pasa como parámetro en la URL que se genera cuando el jugador pulsar ‘Sign In’, y es fácilmente manipulable.
- El uso de SSO o Single Sign-On, con las plataformas PlayStationNetwork, Xbox Live, Nintendo, Facebook y Google+
Fuentes:
https://unaaldia.hispasec.com/2019/01/xss-en-fornite-permite-el-robo-de-cuentas.html
https://www.elotrolado.net/noticia_un-agujero-en-fortnite-permitia-el-robo-de-cuentas-con-solo-pulsar-un-enlace_39212
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.