游戏介绍：Epic修复安全漏洞 可以通过点击链接进入帐户

Fortnite开发者Epic Games帐户系统中一个现已修复的安全漏洞可以让恶棍像其他人一样登录甚至购买东西，只需让他们点击一个狡猾的链接即可。与许多网络钓鱼方案不同，这可以通过劫持用户的身份验证令牌来实现 - 甚至不需要欺骗他们输入用户名和密码。Epic说他们现在已经解决了这个问题，但是，这是一个糟糕的问题。从好的方面来说，嘿孩子们，你现在有一个很好的借口，为什么你父亲的信用卡账单显示有人花了50英镑来支持美德。

该漏洞利用针对用户通过Google，Facebook，PlayStation或Xbox等第三方帐户登录，而不是直接注册Epic帐户。

“为了使攻击成功，受害者需要做的就是点击攻击者发送的恶意网络钓鱼链接，”Check Point软件公司解释说，他昨天引起了公众的注意。

例如，为了增加潜在受害者点击此链接的可能性，可以通过诱惑发送有希望的免费游戏积分。点击后，即使用户无需输入任何登录凭据，攻击者也会立即捕获他们的Fortnite身份验证令牌。“

因此，git可以登录您的帐户，查看您的数据，在您的卡上购买更多V-Bucks，查看您的联系人......糟糕的事情。并且可能它不仅限于Fortnite，能够获得你所有的Epic帐户内容吗?

“我们已经意识到这些漏洞并且很快就会被解决，”Epi​​c Games在给Gamasutra的一份声明中说道。“我们感谢Check Point引起我们的注意。”

如果你想知道科学位，这里来自Check Point，专注：

“在Epic Games登录页面，accounts.epicgames.com中发现了一个漏洞。由于此域未经过验证，因此很容易受到恶意重定向的影响。因此，我们的团队将流量重定向到另一个，尽管没有使用，Epic Games子域。

“正是在这个子域上，也包含安全漏洞，我们的研究团队能够识别出一个XSS攻击，加载一个JavaScript，向SSO提供商(例如Facebook或Google+)发出二次请求，重新发送认证令牌。SSO提供程序将正确地将令牌重新发送回登录页面。但是，这次由于恶意重定向，令牌将被发送回被操纵的子域，攻击者可以通过注入的JavaScript代码收集令牌。

是的，正如我所怀疑的那样 - 几乎就是我第一次听到Epic有安全漏洞时的预测。