Een beveiligingslek in het populaire spel Fortnite maakte het mogelijk voor aanvallers om accounts via een malafide link over te nemen. Een kwetsbaarheid in het authenticatieproces van het spel zorgde ervoor dat aanvallers het authenticatietoken konden stelen en zo het account konden overnemen.

Het beveiligingslek bevond zich specifiek op de inlogpagina van Epic Games, de ontwikkelaar van Fortnite. Dit domein, accounts.epicgames, was niet gevalideerd en kwetsbaar voor een redirect, aldus securitybedrijf Check Point. Op deze manier was het mogelijk om verkeer naar een ander subdomein van Epic Games door te sturen dat niet meer in gebruik was. Dit subdomein, ut2004stats.epicgames.com, was weer kwetsbaar voor cross-site scripting (XSS).

Via een XSS-aanval was het mogelijk om JavaScript te laden waardoor er een tweede verzoek naar de Single Sign-On (SSO) provider werd gestuurd die Fortnite-spelers laat inloggen. Het gaat dan bijvoorbeeld om Facebook of Google. Spelers kunnen via accounts van deze techbedrijven op het spel inloggen. Zodra de SSO-provider het tweede verzoek ontving stuurde die het authenticatietoken terug naar de inlogpagina. Door de redirect werd het authenticatietoken naar het gemanipuleerde subdomein gestuurd waar de aanvaller het via de door hem geïnjecteerde JavaScript-code kon onderscheppen.

Om de aanval uit te voeren moest een speler wel eerst een malafide link van de aanvaller binnen het spel openen. Via het toegangstoken had een aanvaller op het account van de speler kunnen inloggen en bijvoorbeeld op kosten van de speler virtuele items kunnen aanschaffen. Ook had de aanvaller toegang tot de contacten van de speler kunnen krijgen en was het mogelijk om mee te luisteren met gesprekken in het spel. Na te zijn ingelicht door Check Point werden de kwetsbaarheden verholpen.