"פרצת אבטחה במשחק הרשת פורטנייט"

חוקרי  הסייבר  של חברת צ'ק פוינט, ערן ווקנין ואלון בוקסינר, איתרו חולשות אבטחה חמורות במשחק הרשת הפופולרי ביותר בעולם – פורטנייט. בפורטנייט משחקים במגוון פלטפורמות (אייפון, אנדרואיד, מחשבים, קונסולות ועוד) מדי חודש קרוב ל-80 מליון שחקנים.

החולשות שאיתרו החוקרים מאפשרות, למעשה, השתלטות מוחלטת על החשבונות האישיים של משתמשי המשחק, ובכלל זאת הפרטים האישיים של המשתמש ,הכוללים גם את פרטי כרטיס האשראי שלו ,וכלל הנתונים על המשתמשים האחרים שמשחקים איתו. החולשות מאפשרות לפורץ לבצע רכישות בתוך המשחק במטבע הוירטואלי שלו  הקרוי V-Buckets וכן לשמוע בשידור חי את קולותיהם של המשתמשים בחשבונות בזמן אמת (ואת כל המתרחש בסביבתם), ואף לדבר איתם ישירות. 

איך זה קורה
החולשות שאותרו קיימות בתהליך הרישום וזיהוי המשתמשים של משחק הרשת. החולשות נמצאו בפלטפורמת המשחק של המפעילה (EPIC GAMES), בדגש על מתודולוגיית אימות הזהות של המשתמש בכניסתו למשחק  באמצעות פרטי חשבונות הפייסבוק/גוגל/XBOX/PLAYSTATION/NINTENDO. לאחר התחברות מוצלחת, מונפק למשתמש טוקן ייחודי שמשמש אותו לצורך הזדהות בעת ההתחברות למשחק הרשת בפלטפורמה שנבחרה.

החולשות מנוצלות לתקיפה באמצעות לחיצה של המשתמש על לינק ייעודי ששולח התוקף ומגיע, לכאורה, מהדומיין של המשחק – מה שנראה למשתמש עצמו כפעולה תמימה ונורמלית לחלוטין. עם הלחיצה על הלינק, התוקף משיג את פרטי אימות הזהות של המשתמש , וזאת מבלי שהמשתמש הקליד אותם בעצמו.

"פורטנייט הוא היום אחד מהתחביבים הפופולריים ביותר של ילדי העולם כולו. החולשות שמצאנו מאפשרות לתוקפים לבצע פגיעות חמורות מאד בפרטיות שלהם וניצול מסוכן של זהותם ופרטיהם האישיים", אומר ודד ואנונו, ראש מחלקת מחקר חולשות מוצרים בצ'ק פוינט. לדבריו, "בשנה האחרונה ראינו פעילות הולכת וגוברת של פושעי סייבר לתקוף שירותי ענן ולהשיג מהם כמות אדירה של פרטים אישיים המאוחסנים בהם. הם עושים זאת דרך אותו תהליך אימות זהות שגם כאן הוכחנו שניתן להשתלט עליו. גניבת זהויות משתמשים ברשת מהווה אחד מהאיומים המשמעותיים בעולם הסייבר של ימינו".