פרצת אבטחה במשחק הפופולארי "פורטנייט"

חוקרי צ'ק פוינט איתרו חולשות אבטחה חמורות במשחק הרשת הפופולרי ביותר בעולם – פורטנייט

עוזי ברוך , י' בשבט תשע"ט

משחקי מחשב
משחקי מחשב
צילום: אייסטוק

חוקרי הסייבר של חברת צ'ק פוינט, ערן ווקנין ואלון בוקסינר, איתרו חולשות אבטחה חמורות במשחק הרשת הפופולרי ביותר בעולם – פורטנייט. בפורטנייט משחקים במגוון פלטפורמות (איי פון, אנדרואיד, מחשבים, קונסולות ועוד) מדי חודש קרוב ל-80 מליון שחקנים.

החולשות שאיתרו החוקרים מאפשרות, למעשה, השתלטות מוחלטת על החשבונות האישיים של משתמשי המשחק, ובכלל זאת הפרטים האישיים של המשתמש ,הכוללים גם את פרטי כרטיס האשראי שלו וכלל הנתונים על המשתמשים החארים שמשחקים איתו.

החולשות מאפשרות לפורץ לבצע רכישות בתוך המשחק במטבע הוירטואלי שלו (הקרוי (V-Buckets) וכן לשמוע בשידור חי את קולותיהם של המשתמשים בחשבונות בזמן אמת (ואת כל המתרחש בסביבתם), ואף לדבר איתם ישירות.

החולשות שאותרו קיימות בתהליך הרישום וזיהוי המשתמשים של משחק הרשת. החולשות נמצאו בפלטפורמת המשחק של המפעילה (EPIC GAMES), בדגש על מתודולוגיית אימות הזהות של המשתמש בכניסתו למשחק באמצעות פרטי חשבונות הפייסבוק/גוגל/XBOX/PLAYSTATION/NINTENDO. לאחר התחברות מוצלחת, מונפק למשתמש טוקן ייחודי שמשמש אותו לצורך הזדהות בעת ההתחברות למשחק הרשת בפלטפורמה שנבחרה.

החולשות מנוצלות לתקיפה באמצעות לחיצה של המשתמש על לינק ייעודי ששולח התוקף ומגיע, לכאורה, מהדומיין של המשחק – מה שנראה למשתמש עצמו כפעולה תמימה ונורמלית לחלוטין. עם הלחיצה על הלינק, התוקף משיג את פרטי אימות הזהות של המשתמש , וזאת מבלי שהמשתמש הקליד אותם בעצמו.

בעבר פורסמו דיווחים על הונאות בחשבונות משתמשים של פורטנייט שבוצעו על ידי הפניית המשתמשים לאתרים מזויפים שבהם הקלידו המשתמשים את פרטיהם האישיים בכדי לבצע רכישות במשחק.

לעומת זאת החולשות שאיתרו חוקרי צ'ק פוינט הן הראשונות שפורסמו שמאפשרות לפגוע במשתמשים ללא ידיעתם ומבלי שהם נאלצו להעביר את פרטיהם לכל גורם אחר.

עודד ואנונו, ראש מחלקת מחקר חולשות מוצרים בצ'ק פוינט אמר "פורטנייט הוא היום אחד מהתחביבים הפופולריים ביותר של ילדי העולם כולו. החולשות שמצאנו מאפשרות לתוקפים לבצע פגיעות חמורות מאד בפרטיות שלהם וניצול מסוכן של זהותם ופרטיהם האישיים. בשנה האחרונה ראינו פעילות הולכת וגוברת של פושעי סייבר לתקוף שירותי ענן ולהשיג מהם כמות אדירה של פרטים אישיים המאוחסנים בהם. הם עושים זאת דרך אותו תהליך אימות זהות שגם כאן הוכחנו שניתן להשתלט עליו. גניבת זהויות משתמשים ברשת מהווה אחד מהאיומים המשמעותיים בעולם הסייבר של ימינו" .

צ'ק פוינט הודיעה לחברת Epic Games על הממצאים וזו הכירה בהן ותיקנה אותן. צ'ק פוינט ממליצה למשתמשים בפלטפורמות דיגיטליות להשתמש בזיהוי דו שלבי (2 factor authentication) כאמצעי הגנה למניעת גניבות חשבון ושמירה על הפרטיות. על המשתמשים לבחון את מידת הלגיטימיות של הלינקים עליהם הם לוחצים ובאילו אתרים הם משאירים את פרטיהם האישיים.