この脆弱性により、ハッカーはログインページのように見えたが実際にユーザーアカウントを取得したユーザーリンクを送信することにより、フィッシングスキームを簡単に開始することができました。

CPRは11月にEpic Gamesに欠陥を通知し、Epicは数週間後に脆弱性を修正しました。ただし、その間、CPRが通知を送信する前のしばらくの間、Fortniteユーザーは重大な詐欺の危険にさらされていました。

CPRは、エクスプロイトがどのように機能したかを、ブログの非常に技術的な説明で正確に説明しています。ただし、プロセスの要点はかなり単純でした。

• ハッカーはFortniteが使用するシングルサインオンシステムを悪用します。これにより、ユーザーはFacebook、Nintendo、Google +などの他のアカウントを使用してFortniteにログインできます。
• その後、ハッカーは合法的に見えるユーザーにリンクを送信します。ただし、実際には、ログイン情報を取得する別のサーバーを介してそれらをリダイレクトします。
• リンクは正当に見え、ユーザーは実際に資格情報を入力する必要がないため、ユーザーは何も起こらなかったと考えます。
• ハッカーはログイン情報を取得し、アカウントを追い越し、添付の支払いオプションを使用して不正な取引を行います。

によるザヴァージ、このエクスプロイトを使用したハッカーは、ハイジャックされたアカウントを使用してFortniteのゲーム内通貨（V-Bucks）を購入し、それらのV-Bucksを別のアカウントに贈与し、V-Bucksをダークウェブ上の他のプレーヤーに割引価格で販売します。

Fortniteはゲーム内販売で数十億ドルを稼いでいるので、この詐欺行為は非常にluかる可能性があります。

Epic Gamesは声明で次のように述べています。「私たちは脆弱性を認識し、すぐに対処しました。この点に注意を払ってくれたCheck Pointに感謝します。いつものように、プレイヤーはパスワードを再利用せず、強力なパスワードを使用せず、アカウント情報を他者と共有しないことにより、アカウントを保護することをお勧めします。」

現在、この脆弱性は修正されていますが、強力なパスワードを使用し、頻繁に変更し、信頼できるWebサイトにのみ資格情報を入力することをすべての人に思い出させてください。