Asi nejhloupější ruský hacker: ukradl účet Epic Games a myslel si, že má vyhráno. Několik dní na něm jenom hrál Fortnite

Někdo se naboural do účtu Epic Games, získal přístup k celému hernímu profilu i propojeným službám, a pak na něm tři dny jen hrál Fortnite.

Zdroj fotografie: Unsplash

Představte si, že vám někdo ukradne klíče od bytu, vejde dovnitř, sedne si na gauč a tři dny sleduje televizi. Nekrade, neprodává, neničí. Jen si užívá. Přesně tohle se stalo koncem listopadu 2025 jednomu uživateli Epic Games. Mezi 25. a 28. listopadem se na jeho účtu objevila aktivita, kterou sám nevyvolal, někdo pod cizí identitou prostě hrál Fortnite. Útočník používal e-mailovou adresu s ruskou doménou, což je jediná stopa, která po něm zůstala. Účet se podařilo získat zpět 1. prosince. Celý incident ale ukazuje víc než jen kuriózní historku z herního světa.

Co vlastně znamená ukradený účet Epic

Účet Epic Games není jen vstupenka do Fortnite. Funguje jako identitní vrstva pro celý ekosystém, Epic Games Store, Unreal Engine i třetí strany využívající přihlášení přes Epic. Kdo ovládne tento účet, získá přístup k Fortnite progresu, nakoupené kosmetice, herní historii, ale potenciálně i k propojeným externím účtům a primárnímu e-mailu.

Epic výslovně varuje, že kompromitace účtu ohrožuje nejen herní profil, ale i propojené účty a e-mailovou identitu. Útočník, který se dostal dovnitř, měl v rukou klíč k celé digitální identitě oběti. A co s ním udělal? Odemkl Fortnite a šel hrát.

Proč je „jen hraní“ horší, než se zdá

Na první pohled to vypadá neškodně. Žádné nákupy, žádný prodej účtu na černém trhu, žádné darování skinů na jiný profil. Jenže právě v tom je paradox: Epic monitoruje podezřelé finanční transakce a darování předmětů, takže útočník, který začne účet okamžitě „vysávat“, spustí bezpečnostní alarmy rychleji než ten, kdo jen tiše hraje. Tichý parazit je hůř detekovatelný.

Mezitím oběť ztrácí kontrolu. Proces obnovy u Epicu běží přes samoobslužný formulář: přihlašovací stránka, volba „Problém s přihlášením?“, zadání e-mailu, ověření přes dostupné metody dvoufaktorového ověření nebo bezpečnostní kód. Když nic z toho nefunguje, Epic žádá e-mail použitý při založení účtu a další identifikační údaje. Po odeslání žádosti přijde potvrzení s ID žádosti o obnovu. Výsledek Epic standardně slibuje do 48 hodin, pokud není třeba delší šetření. Po tu dobu má legitimní majitel omezenou kontrolu nad vlastní identitou. V tomto konkrétním případě trvala obnova zhruba tři dny od podání žádosti, což rámcově odpovídá oficiálnímu postupu.

Jak si stojí Epic vedle Steamu a PlayStationu

Každá velká herní platforma řeší krádež účtu jinak. Rozdíly nejsou kosmetické:

• Epic Games tlačí uživatele do samoobslužné obnovy a větví ji podle toho, co ještě kontroluje. Nabízí dvoufaktorové ověření přes autentizační aplikaci, Epic Authenticator, e-mail nebo SMS, přičemž sám doporučuje variantu s autentizační aplikací jako nejsilnější ochranu.
• Steam při krádeži účtu nejdřív vyžaduje zabezpečení počítače a e-mailu, teprve potom řeší reset samotného účtu. Steam Guard Mobile Authenticator označuje za nejvyšší úroveň zabezpečení.
• PlayStation rozděluje obnovu podle toho, zda má uživatel přístupový klíč (passkey), nebo e-mail. Při podezřelých změnách přihlašovacích údajů rovnou odkazuje na online asistenta. A hlavně: PlayStation už dnes přístupové klíče nabízí, tedy přihlášení bez hesla, které je z principu odolnější vůči phishingu i zneužití uniklých přihlašovacích údajů.

Epic zatím zůstává u kombinace heslo plus dvoufaktorové ověření. Přístupové klíče v jeho ekosystému chybí. Navíc stojí za zmínku, že Epic sice má české nápovědy a kontaktní stránku, čeština ale nefiguruje mezi jazyky živé podpory. Realisticky se dá počítat se samoobslužným formulářem a tiketem, ne s česky mluvícím operátorem.

Co udělat, aby se to nestalo vám

Nejpravděpodobnější cesty dovnitř jsou předvídatelné: recyklované heslo z jiné služby, kompromitovaný e-mail, phishing nebo slabě zabezpečený propojený účet. Epic před všemi těmito vektory výslovně varuje. Obrana má jasnou hierarchii:

1. Zabezpečte e-mail. Změňte heslo, zapněte dvoufaktorové ověření. E-mail je brána ke všemu ostatnímu.
2. Zapněte dvoufaktorové ověření na Epicu. V nastavení účtu: Password and security → Two-Factor Authentication → Set up. Jako primární metodu zvolte autentizační aplikaci, e-mail a SMS nechte maximálně jako zálohu.
3. Uložte záložní kódy. Když ztratíte přístup k autentizační aplikaci, jsou jedinou cestou zpět bez procesu obnovy.
4. Zkontrolujte propojené účty. Každý propojený účet je potenciální vstupní brána. Zabezpečte je stejně důsledně jako hlavní identitu u Epicu.
5. Nerecyklujte hesla. Zneužití uniklých přihlašovacích údajů z jiných služeb je nejbanálnější a zároveň nejúčinnější útok.

Hloupost, která má svou logiku

Označit útočníka za „nejhloupějšího hackera“ je lákavé, ale podle nás jeho chování dává perverzní smysl. Kdo jen hraje, nevyvolá finanční alarmy. Kdo jen hraje, neprodukuje transakční stopu. Kdo jen hraje, může na ukradeném účtu sedět déle než ten, kdo se ho pokusí zpeněžit. Hloupost nebyla v tom, že neuměl účet převzít, to zvládl. Hloupost byla v tom, že s plnohodnotným přístupem k cizí digitální identitě neudělal nic, co by mu přineslo víc než pár zápasů ve Fortnite. Účet je zpět u svého majitele. Útočník odešel s prázdnýma rukama a pár výhrami v battle royale, které ani nejsou jeho.