Игрок обнаружил уязвимость в системе двухфакторной аутентификации EGS
Уникальный токен не меняется в течение 30 минут.
Пользователь Reddit под ником Naouak рассказал о бреши, которую обнаружил в системе защиты Epic Games Store. При авторизации двухфакторным методом на почту пользователя приходит один и тот же уникальный ключ.
Токен, который приходит на почту должен быть одноразовым. Он предназначен для того, чтобы злоумышленники не могли получить доступ к профилю геймера в EGS. Naouak обнаружил, что ключ меняется только каждые полчаса. Он даже попытался использовать разные браузеры, но в течение нескольких минут получал одинаковые токены.
Каждый ключ, присылаемый пользователю для второго этапа авторизации должен быть уникальным. В противном случае злоумышленник, имеющий доступ к почте геймера, может авторизоваться по тому же токену. В случае с EGS это можно сделать в течение получаса после получения первого ключа на почту.
Epic Games Store пока не прокомментировал найденную уязвимость.