Lỗ Hổng trong Fortnite Tiếp Tục Tiết Lộ Tài Khoản Cho Sự Nắm Bắt

Buzz

Ngày cập nhật gần nhất: 1/5/2026

Nội dung bài viết

More Great Mytour Stories

Xem thêm

Đọc tóm tắt

- Fortnite, với hơn 200 triệu người chơi vào cuối năm 2018, đã gặp vấn đề bảo mật nghiêm trọng. Các lỗ hổng trong hệ thống đăng nhập một lần duy nhất (SSO) đã được Check Point phát hiện, cho phép kẻ tấn công chiếm đoạt tài khoản người dùng. Mặc dù Epic Games đã vá các lỗ hổng này, nhưng mối lo ngại lớn về an ninh vẫn tồn tại, đặc biệt với nguy cơ lạm dụng đối với người chơi trẻ em. Điều này tương tự như vụ rò rỉ dữ liệu của Facebook năm 2018, cho thấy sự cần thiết phải cải thiện bảo mật trong các hệ thống xác thực.

Fortnite vượt qua 200 triệu người chơi đăng ký vào cuối năm 2018, tiếp tục chuỗi tăng trưởng và chiếm lĩnh trong thế giới game trực tuyến. Nhưng những nền tảng lớn cũng tất yếu trở thành mục tiêu lớn. Fortnite đã phải đối mặt với nhiều vấn đề về an ninh số, đặc biệt là các trường hợp lừa đảo như ứng dụng giả mạo trên Android. Bây giờ, nghiên cứu mới từ công ty an ninh IT Check Point tiết lộ một nhóm lỗ hổng trong cơ sở hạ tầng web của Fortnite có thể đã cho phép kẻ tấn công nắm bắt tài khoản người dùng.

Các nhà nghiên cứu của Check Point tiết lộ phát hiện của họ cho nhà phát triển Fortnite, Epic Games, vào đầu tháng 11. Công ty vá những lỗ hổng vài tuần sau đó. Những lỗ hổng này đáng kể vì chúng xuất hiện trong cài đặt đăng nhập một lần duy nhất của Fortnite - một cơ chế cho phép bạn đăng nhập vào nhiều dịch vụ với cùng một tài khoản. Những kế hoạch như vậy - sử dụng tài khoản Facebook của bạn để đăng nhập vào một ứng dụng chẳng hạn - giúp người dùng dễ dàng theo dõi thông tin đăng nhập mạnh mẽ, và chúng có thể giảm bớt yêu cầu bảo mật đối với một công ty bằng cách outsourcing một số cơ sở hạ tầng xác thực của mình. Nhưng dịch vụ đăng nhập một lần duy nhất, hoặc SSOs, cũng có thể trở thành điểm thất bại duy nhất, có khả năng tiết lộ tài khoản người dùng không chỉ trên một dịch vụ mà còn trên nhiều nền tảng.

"Ứng dụng cần giao tiếp với bên thứ ba và cần có khả năng chuyển dữ liệu giữa các ứng dụng, và nhiều nền tảng, không chỉ riêng Epic Games, đều mắc sai lầm trong việc triển khai xác thực," Oded Vanunu, trưởng nhóm nghiên cứu về lỗ hổng sản phẩm tại Check Point, nói. "Hôm nay, các tội phạm mạng và những tác nhân độc hại muốn truy cập vào tài khoản người dùng, vì khi bạn đã vào bạn có thể bắt đầu di chuyển trong đám mây. Vì vậy, việc chiếm đoạt tài khoản đang trở thành một hướng tấn công mới nổi lên."

Fortnite cho phép bạn đăng nhập bằng tài khoản Facebook, Google, Play Station Network, Xbox Live, hoặc Nintendo.

Những lỗ hổng mà các nhà nghiên cứu của Check Point phát hiện có thể tận dụng lẫn nhau để tạo ra quy trình tấn công. Họ kết hợp một lỗ hổng trong một URL hợp lệ của Epic Games, một vấn đề với việc chuyển hướng trang trong quá trình đăng nhập một lần duy nhất, và một lỗ hổng truy vấn cơ sở dữ liệu có thể kết hợp để đánh cắp token truy cập người dùng - một mã xác thực mà SSO tạo ra sau khi người dùng gửi tên người dùng và mật khẩu chính xác của họ.

Để lợi dụng những lỗ hổng này, một kẻ tấn công sẽ đầu tiên tạo và phân phối một liên kết độc hại, có thể là trong một tin nhắn truyền thông xã hội hoặc bài đăng diễn đàn giả mạo về một chương trình khuyến mãi của Fortnite. Liên kết có thể được rút gọn nhưng vẫn là một liên kết Epic Games hợp lệ, và do đó ít đáng nghi, nối vào trang web có lỗ hổng mà nhóm nghiên cứu đã tìm thấy. Từ đó, cuộc tấn công diễn ra nhanh chóng. Người chơi Fortnite nhấp vào liên kết trên thiết bị đã đăng nhập sẽ ngay lập tức tiết lộ mã xác thực của họ để kẻ tấn công đánh cắp. Từ đó, kẻ tấn công có thể đăng nhập vào tài khoản Fortnite và bắt đầu lắng nghe cuộc trò chơi, truy cập vào dữ liệu cá nhân trong tài khoản người dùng, hoặc thực hiện các giao dịch mua sắm trong trò chơi bằng thẻ tín dụng tài khoản - điều có thể hỗ trợ kế hoạch rửa tiền của tội phạm. Những token này không thể được sử dụng để riêng lẻ chiếm đoạt tài khoản Facebook của ai đó.

Epic đã vá những lỗ hổng, nhưng hoàn toàn có khả năng rằng ai đó ngoài Check Point đã phát hiện ra cuộc tấn công trước đó. Một người phát ngôn của Epic Games nói với Mytour, "Chúng tôi cảm ơn Check Point đã đưa ra thông báo này. Như thường lệ, chúng tôi khuyến khích người chơi bảo vệ tài khoản của họ bằng cách không sử dụng lại mật khẩu và sử dụng mật khẩu mạnh, và không chia sẻ thông tin tài khoản với người khác."

Những yếu điểm trong Fortnite gợi nhớ đến một bộ ba lỗ hổng của Facebook gây ra vụ rò rỉ dữ liệu toàn diện đầu tiên của mạng xã hội, được thông báo vào tháng 9. Trong trường hợp đó, các kẻ tấn công tương tự đã lợi dụng ba lỗ hổng cùng nhau để đánh cắp mã xác thực người dùng và chiếm đoạt 30 triệu tài khoản. Các hacker Facebook dường như đang theo đuổi dữ liệu cá nhân, nhưng họ có đầy đủ quyền truy cập để làm bất cứ điều gì họ muốn với hồ sơ của nạn nhân. Và trong khi Facebook vô hiệu hóa mã xác thực mà những kẻ tấn công đã đánh cắp và kết luận rằng chúng không bị lạm dụng ngoài Facebook, tình hình này là một lời nhắc quan trọng về nhược điểm của các kế hoạch đăng nhập một lần duy nhất.

Vanunu của Check Point chỉ ra rằng cuộc tấn công Fortnite đáng lo ngại đặc biệt vì nhiều người chơi game của trò chơi này là trẻ em. Nhưng chiếm đoạt tài khoản toàn diện là một lo ngại nghiêm trọng trong mọi trường hợp. "Nếu điều này bị lạm dụng với trẻ em, đó sẽ là thảm họa," Vanunu nói. "Chúng tôi muốn nâng cao nhận thức đối với những người đang xây dựng ứng dụng đám mây mới để coi trọng vấn đề bảo mật và dành thời gian để kiểm tra cẩn thận thiết lập xác thực."

Các câu hỏi thường gặp

Tại sao Fortnite lại gặp phải nhiều vấn đề về an ninh số?

Fortnite gặp phải nhiều vấn đề về an ninh số do quy mô người chơi lớn và sử dụng nhiều dịch vụ đăng nhập một lần duy nhất, tạo điều kiện cho kẻ tấn công lợi dụng lỗ hổng.

Liệu việc sử dụng đăng nhập một lần duy nhất có an toàn không?

Không, việc sử dụng đăng nhập một lần duy nhất có thể tạo ra điểm thất bại, dễ bị kẻ tấn công lợi dụng để chiếm đoạt tài khoản người dùng trên nhiều nền tảng.

Fortnite đã làm gì để khắc phục các lỗ hổng bảo mật không?

Fortnite đã vá các lỗ hổng bảo mật sau khi được thông báo bởi Check Point, nhưng người chơi vẫn được khuyến cáo tăng cường bảo mật cho tài khoản của họ.

Kẻ tấn công có thể làm gì khi chiếm đoạt tài khoản Fortnite?

Khi chiếm đoạt tài khoản Fortnite, kẻ tấn công có thể truy cập dữ liệu cá nhân, thực hiện giao dịch mua sắm trong trò chơi, và thậm chí lắng nghe cuộc trò chơi của nạn nhân.

Có những rủi ro nào liên quan đến việc trẻ em chơi Fortnite?

Rủi ro liên quan đến việc trẻ em chơi Fortnite bao gồm khả năng bị chiếm đoạt tài khoản, dẫn đến mất dữ liệu cá nhân và các giao dịch không mong muốn trong trò chơi.

Tại sao các nhà phát triển ứng dụng cần chú ý đến bảo mật hơn?

Các nhà phát triển ứng dụng cần chú ý đến bảo mật hơn để ngăn chặn các cuộc tấn công tương tự và bảo vệ thông tin người dùng, đặc biệt khi ứng dụng phục vụ đối tượng trẻ em.

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua Zalo: 0978812412 hoặc Email: [email protected]