Проблем в сигурността на Fortnite бе открит от Check Point Research в края на 2018 г. Уязвимостта позволи на хакерите лесно да инициират фишинг схема, като изпращат на потребителите връзки, които приличат на страници за вход, но всъщност извлечени потребителски акаунти.

CPR уведомява Epic Games за недостатъка през ноември, а Epic излъчва уязвимостта седмици по-късно. Въпреки това, през това време - и известно време преди CPR да изпрати известието - потребителите на Fortnite са изложени на сериозен риск от измама.

CPR подробно описва как работи експлоатацията в много техническо обяснение в блога си. Същността на процеса обаче беше доста проста:

• Хакерите използват системата за еднократно влизане, която Fortnite използва, което позволява на потребителя да влиза в Fortnite с помощта на други акаунти, като Facebook, Nintendo, Google+ и т.н.
• След това хакерите изпращат линк до потребител, който изглежда законно. Въпреки това, той всъщност ги пренасочва през различен сървър, който остъргва данните им за вход.
• Тъй като връзката изглеждаше легитимна и потребителят не трябваше да въвежда всъщност своите идентификационни данни, потребителят смята, че нищо не се е случило.
• Хакерите получават информация за вход, изпреварват акаунта и използват приложените опции за плащане, за да извършват измамни транзакции.

СпоредНа ръба, хакери, които използват този експлоататор, ще купуват валутата на играта на Fortnite (V-Bucks), използвайки отвлечените акаунти, ще подаряват тези V-Bucks на друг акаунт, а след това ще продават V-Bucks с намалена ставка на други играчи в тъмната мрежа ,

Fortnite печели милиарди долари от продажби по време на игра, така че тази измамна дейност може да бъде доста доходоносна.

Epic Games казва в изявление: „Бяхме запознати с уязвимостите и те скоро бяха адресирани. Благодарим на Check Point, че ни обърна внимание на това. Както винаги, ние насърчаваме играчите да защитават своите акаунти, като не използват повторно пароли и използват силни пароли и не споделят информация за акаунта с други хора. “

Въпреки че тази уязвимост вече е кръпка, това трябва да бъде напомняне на всички да използват силни пароли, да ги променят често и само да въвеждат идентификационни данни в надеждни уебсайтове.