Luki bezpieczeństwa zawsze narażają użytkowników na większe, bądź mniejsze zagrożenie ze strony oszustów lub cyberprzestępców. Zazwyczaj nie dotyczą one jednak tego typu stron internetowych. Oszuści mogli wykorzystywać słabości w zabezpieczeniach największego na świecie portalu szachowego chess.com.
Nawet portal szachowy nie jest bezpieczny
Trzeba przyznać, że takich informacji nie podaje się zbyt często. Zazwyczaj słyszymy o lukach bezpieczeństwa np. w programach pocztowych lub oszustach podszywających się pod strony internetowe banków. Tym razem sprawa dotyczy portalu do gry w szachy.
Eksperci od bezpieczeństwa cybernetycznego Check Point Research przyjrzeli się bliżej zabezpieczeniom platformy Chess.com, która może pochwalić się ponad 100 mln członków i 17 mln codziennych partii. Po przeprowadzeniu badań odkryli oni kilka słabości, które mógłby wykorzystać oszust do oszukiwania i zakłócania gier.
Po co oszuści mieliby manipulować wynikami gry w szachy? Sytuacja nabiera zdecydowanie więcej sensu, kiedy zdamy sobie sprawę, że w grę wchodzą nagrody sięgające nawet miliona dolarów.
Znaleźliśmy wiele luk w zabezpieczeniach platformy Chess.com, które pozwalają atakującemu oszukiwać w rozgrywkach szachowych i ustalać wyniki nawet bez uczestniczenia w grze. Na Chess.com jest ponad 100 milionów graczy, a wygranie gry przez oszukiwanie może obniżyć ogólny wynik przeciwnika, jednocześnie zwiększając wynik osoby oszukującej. Potencjalni napastnicy mogli wykorzystać luki w zabezpieczeniach, również, aby zdobyć cenne nagrody. Oded Vanunu, kierownik działu badań nad podatnościami w Check Point Research.
Tak lukę bezpieczeństwa wykorzystywali oszuści
Wykorzystywanie luk możliwe jest poprzez modyfikację interfejsu API gry szachowej. Eksperci byli w stanie skrócić czas przeciwnika i zwyciężyć partię. W jaki sposób to działało?
Chess.com używa WebSocket do komunikacji w grze. Każda partia zawiera identyfikator gry, który można zobaczyć bezpośrednio w adresie URL. Atakujący rozpoczyna partię szachów z kimś, kogo dodał do swojej listy znajomych przed lub w trakcie gry. Kiedy użytkownicy rozgrywają partię jako znajomi, w interfejsie pojawia się dodatkowa opcja, dzięki której swojemu przeciwnikowi możemy dodać dodatkowe 15 sekund na zastanowienie się nad ruchem.
Tutaj do gry wkraczali oszuści, którzy mogli przechwycić żądanie WebSocket za pomocą dowolnego narzędzia proxy, a następnie zmodyfikować je tak, by ich przeciwnikowi czas był odejmowany, a nie dodawany. Dzięki luce w zabezpieczeniom możliwe było manipulowanie zegarem przeciwnika tak, by nawet go wyzerować i dzięki temu wygrać całą partię.
Eksperci z Check Point Research zapewniają, że natychmiast po odkryciu tej luki ujawnili swoje ustalenia firmie Chess.com, która rozwiązała ten problem. Teraz możecie już ze spokojem grać w szachy online, wiedząc, że nikt Was nie oszuka.