Технология двухфакторной аутентификации (2FA) используется множеством веб-сайтов, от Gmail до небольших интернет-магазинов. Однако даже эта система не является совершенной — примером тому стала ситуация с Epic Games Store.
На Reddit пользователь под псевдонимом u/Naouak рассказал, что у системы двухфакторной аутентификации в магазине игр есть проблемы. Суть в том, что он пытался авторизоваться в магазине с помощью 2FA с двух разных браузеров. При этом на почту приходит один и тот же код авторизации. После этого пользователь попытался запросить код ещё трижды и все три раза получил одинаковый токен, хотя и завершал сессию принудительно.
Таким образом, по мнению u/Naouak, в системе есть брешь: если злоумышленник имеет доступ к электронной почте жертвы, то он получит доступ и к кодам, которые, как указано выше, не меняются. То же справедливо, если злоумышленник получил доступ к браузеру.
При этом было отмечено, что код действителен на протяжении 30 минут. По мнению автора поста, это слишком долго, поскольку даёт возможность хакеру воспользоваться этой брешью и авторизоваться на сайте под видом пользователя.
Другие пользователи в теме рассказали, что у Epic Games было уже немало проблем с безопасностью. Пользователь chkdg8 заявил, что почти год получает сообщения от компании о взломе аккаунта. Причём он просил удалить учётную запись, добавлял письма в спам, но эффекта это не принесло.
Другой пользователь под псевдонимом TakeshiKovacs46 отметил, что на днях попытался создать аккаунт в Epic Games Store, однако система выдала сообщение, что такая электронная почта уже используется. Были и другие жалобы: полностью тред доступен по ссылке.
В Epic Games пока не комментируют ситуацию. Остаётся надеяться, что брешь будет закрыта в ближайшее время.
