Eind 2018 werd een Fortnite-beveiligingsfout ontdekt door Check Point Research. Door het beveiligingslek konden hackers eenvoudig een phishing-schema initiëren door gebruikers links te sturen die eruit zagen als inlogpagina's, maar eigenlijk geoogste gebruikersaccounts.

CPR bracht Epic Games in november op de hoogte van het probleem en Epic herstelde het beveiligingslek weken later. Gedurende die tijd - en enige tijd voordat CPR de kennisgeving verstuurde - liepen Fortnite-gebruikers echter een groot risico op fraude.

CPR geeft precies aan hoe de exploit werkte in een zeer technische uitleg op zijn blog. De kern van het proces was echter vrij eenvoudig:

• Hackers maken gebruik van het systeem met eenmalige aanmelding dat Fortnite gebruikt, waarmee een gebruiker zich bij Fortnite kan aanmelden met andere accounts, zoals Facebook, Nintendo, Google+, enz.
• De hackers sturen vervolgens een link naar een gebruiker die er legitiem uitziet. Het leidt ze echter in feite om via een andere server die hun aanmeldingsgegevens verwijdert.
• Omdat de link er legitiem uitzag en de gebruiker niet echt zijn gegevens hoefde in te voeren, denkt de gebruiker dat er niets is gebeurd.
• Hackers verkrijgen de inloggegevens, halen het account in en gebruiken de bijgevoegde betalingsopties om frauduleuze transacties uit te voeren.

VolgensDe rand, zouden hackers die deze exploit gebruikten, Fortnite's in-game valuta (V-Bucks) kopen met behulp van de gekaapte accounts, die V-Bucks cadeau doen aan een ander account en de V-Bucks vervolgens met korting verkopen aan andere spelers op het dark web .

Fortnite verdient miljarden dollars aan in-game verkopen, dus deze frauduleuze activiteit kan behoorlijk lucratief zijn.

Epic Games zei in een verklaring: “We werden bewust gemaakt van de kwetsbaarheden en ze werden snel aangepakt. Wij danken Check Point voor het onder onze aandacht brengen. Zoals altijd moedigen we spelers aan om hun accounts te beschermen door wachtwoorden en sterke wachtwoorden niet opnieuw te gebruiken en accountgegevens niet met anderen te delen. "

Hoewel dit beveiligingslek nu is gepatcht, zou dit iedereen eraan moeten herinneren om sterke wachtwoorden te gebruiken, deze vaak te wijzigen en alleen inloggegevens in te voeren in betrouwbare websites.