Kelemahan keamanan Fortnite ditemukan oleh Check Point Research menjelang akhir 2018. Kerentanan ini memungkinkan para peretas untuk dengan mudah memulai skema phishing dengan mengirimkan tautan pengguna yang tampak seperti halaman login, tetapi sebenarnya memanen akun pengguna.

CPR memberi tahu Epic Games tentang cacat itu pada bulan November, dan Epic memperbaiki kerentanannya beberapa minggu kemudian. Namun, selama waktu itu - dan untuk beberapa waktu sebelum CPR mengirim pemberitahuan - pengguna Fortnite menghadapi risiko penipuan yang serius.

CPR merinci dengan tepat bagaimana exploit bekerja dalam penjelasan yang sangat teknis di blog-nya. Namun, inti dari proses ini cukup sederhana:

• Peretas mengeksploitasi sistem sistem masuk tunggal yang digunakan Fortnite, yang memungkinkan pengguna untuk masuk ke Fortnite menggunakan akun lain, seperti Facebook, Nintendo, Google+, dll.
• Peretas kemudian mengirimkan tautan ke pengguna yang terlihat sah. Namun, itu sebenarnya mengarahkan mereka melalui server yang berbeda yang mengorek info masuk mereka.
• Karena tautan tampak sah dan pengguna tidak harus benar-benar memasukkan kredensial mereka, pengguna berpikir tidak ada yang terjadi.
• Peretas mendapatkan info masuk, menyalip akun, dan menggunakan opsi pembayaran terlampir untuk melakukan transaksi penipuan.

MenurutAmbang, peretas yang menggunakan exploit ini akan membeli mata uang dalam game Fortnite (V-Bucks) menggunakan akun yang dibajak, hadiah V-Bucks itu ke akun lain, dan kemudian menjual V-Bucks dengan harga diskon ke pemain lain di web gelap .

Fortnite menghasilkan miliaran dolar dari penjualan dalam game, sehingga aktivitas penipuan ini bisa sangat menguntungkan.

Epic Games mengatakan dalam sebuah pernyataan: "Kami dibuat sadar akan kerentanan dan mereka segera ditangani. Kami berterima kasih kepada Check Point karena telah menyampaikan ini kepada kami. Seperti biasa, kami mendorong pemain untuk melindungi akun mereka dengan tidak menggunakan kembali kata sandi dan menggunakan kata sandi yang kuat, dan tidak berbagi informasi akun dengan orang lain. "

Meskipun kerentanan ini sekarang ditambal, ini harus menjadi pengingat bagi semua orang untuk menggunakan kata sandi yang kuat, sering mengubahnya, dan hanya memasukkan kredensial ke situs web yang dapat dipercaya.