Dankzij het EPIC-beveiligingslek in de winkel kunnen ‘vrienden’ games spelen die niet afzonderlijk zijn gekocht, wat het verlies van inkomsten voor online gaming kost
Een beveiligingsfout in de Epic Games Store is dat gebruikers toegang krijgen tot een game, zelfs als ze er niet de eigenaar van zijn. Hoewel er een voorwaarde is voor het gebruik van de exploit, verliest het gamingbedrijf zeker geld door zo'n ‘gedeelde gametoegang’-bug. Overigens is dit misschien een van de kleinere zorgen voor het bedrijf dat onlangs uren aan opgeslagen gegevens van Borderland 3-spelers heeft verloren.
Epic Games heeft verschillende updates ondergaan. Het bedrijf lijkt echter een nogal interessante bug te hebben waardoor gamers games kunnen spelen die ze officieel niet bezitten. De exploit is vrij eenvoudig uit te voeren en er kan meer dan één variant van de bug zijn, maar het stelt gebruikers in wezen in staat om titels die ze niet hebben gekocht volledig te spelen. De gameplay is soepel en consistent alsof de gamers de titel bezitten. Dit lijkt een geval te zijn van een slechte DRM-implementatie en zelfs lakse gebruikersauthenticatietechnieken die ze aan games koppelen.
Epische game lijdt aan slechte DRM-beveiligingsimplementatie, waardoor gedeeld gamen op één computer mogelijk is:
De beveiligingsfout in de Epic Games Store lijkt vrij eenvoudig en duidelijk te zijn. In wezen kunnen gamers een systeem gebruiken waarop een gekocht spel is geïnstalleerd, om hetzelfde te spelen, zelfs als ze het zelf niet hebben gekocht. Het proces is ook niet ingewikkeld. Als gamers een game via de winkel installeren door in te loggen op het account van iemand anders, kunnen ze de geïnstalleerde game blijven spelen, zelfs als ze weer inloggen op je eigen account.
Volgens de website die de bug voor het eerst ontdekte, hoefde de game alleen maar op een computer te worden geïnstalleerd met een account dat de game legitiem had gekocht. In wezen verscheen een game die geen eigendom was, maar die al was geïnstalleerd vanuit een ander Epic Games Store-account, in de bibliotheek van de gamer. Het opstarten van de game was succesvol en de gameplay verliep soepel. Er waren helemaal geen authenticatiefouten, berichten of plotselinge stops. Bovendien kan de voortgang in het spel naar verluidt ook worden opgeslagen.
De bug is met succes gerepliceerd op meerdere machines met dezelfde resultaten. De enige voorwaarde was dat de game geïnstalleerd moest worden in de Epic Games-directory. De exploit was consistent repliceerbaar, zelfs bij het maken van een volledig nieuw account dat geen games bezit. De testers hebben zelfs een paar nieuwe accounts gemaakt en de exploit gerepliceerd. In wezen was de beveiligingsbug in de interne authenticatie- en verificatiemethodologie van de Epic Games Store exploiteerbaar met elk account, op elke machine.
De beveiligingsfout heeft duidelijk te maken met een gebrek aan DRM of licentiecontrole door de winkel. Er is echter een andere variant van de bug die kan worden misbruikt met dezelfde resultaten. Verschillende gebruikers op Reddit en Twitter ontdekten dat ze het spel nog steeds konden spelen nadat ze het hadden terugbetaald door het uitvoerbare bestand op hun pc te lokaliseren.
Alle premiumgame-titels die beschikbaar zijn in de Epic Game Store kunnen gratis worden gespeeld met de nieuw ontdekte beveiligingsfout?
Momenteel lijkt het mogelijk om toegang te krijgen tot bijna elk spel van een andere gebruiker door simpelweg in te loggen op zijn account, al zijn spellen te installeren en vervolgens weer in te loggen op je eigen account. Dit betekent in wezen dat meerdere mensen een enkele kopie van de game kunnen delen. De enige voorwaarde is dat een enkele gebruiker de spellen op legitieme wijze op zijn of haar account moet kopen. Daarna kan het account worden gebruikt om eenvoudig de spellen te downloaden en te installeren door andere accounthouders. Zolang de titel is geïnstalleerd in hun Epic Games-directory, kunnen de geïnstalleerde games van elke gebruiker prima opstarten en worden opgeslagen.
Om het probleem aan te pakken, moet Epic Games mogelijk snel hun authenticatietechnieken herwerken en processen invoeren die controleren of een enkel account wordt misbruikt om games op meerdere systemen te downloaden. Bovendien zou een incidentele controle om er zeker van te zijn dat het spel dat wordt gespeeld echt gekocht en eigendom is, er ook voor zorgen dat dergelijk ongeautoriseerd gebruik wordt beperkt. Het vergrendelen van de game-installaties op een bepaalde computer kan ook voordelen opleveren voor het bedrijf.