Пользователи форума Reddit нашли в системе безопасности Epic Games Store большую уязвимость. И всё дело не в баге, а в особенностях двухфакторной аутентификации. Геймеры разобрались, в чем заключается проблема сервиса и как она может повысить шанс того, что аккаунт кто-то взломает.
Проблема в том, что код аутентификации, приходящий на электронную почту во время авторизации в системе, не меняется при повторном входе в систему. Пользователи Reddit выяснили, что он меняется только спустя 30 минут, но в течение получаса пришедший на почту код можно использовать сколько угодно раз.
Один и тот же код, присылающийся несколько раз подряд:
Двухфакторная авторизация в EGS, по факту, должна защищать аккаунт от тех хакеров, которые по каким-то причинам имеют доступ к электронной почте попавшего в их руки геймера. На почту должен постоянно приходить новый код авторизации, однако если он не будет меняться в течение долгого времени, то доступ к аккаунту Epic Games Store будет получить намного легче.
Даже если запросить код с разных браузеров или разных IP-адресов, то он все равно не будет меняться. Грубо говоря, если игрок авторизовался в EGS в 14:30 из России, то в, к примеру, в 14:56 хакер из Бразилии все еще сможет воспользоваться полученным кодом авторизации, что является большой проблемой.
Epic Games пока не дала официальный ответ на находку геймеров с Reddit.