Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, objevil několik zranitelností v největší světové šachové platformě Chess.com, kterou používá téměř 100 milionů hráčů z celého světa a kde výhra v turnaji může dosáhnout až 1 milionu dolarů. Zranitelnosti mohli útočníci použít k podvádění v šachových partiích a k řešení šachových úloh, aniž by je hráli.
Velká debata o možných podvodech se rozpoutala v roce 2022, kdy se Magnus Carlsen (norský mistr světa) rozhodl odstoupit z turnaje, protože se domníval, že Hans Niemann (americký velmistr) podvádí. Platforma Chess.com uvedla: „Niemann pravděpodobně podváděl ve více než 100 online šachových partiích… Je nejrychleji rostoucím špičkovým hráčem klasického OTB šachu v novodobé historii.“ Niemann byl vyloučen z platformy Chess.com a z turnaje Global Chess Championship den poté, co porazil Magnuse Carlsena. Niemann přiznal, že v roce 2020 v šachových partiích na populárním webu podváděl. Chess.com použila software pro detekci podvodů a odhalila podezřelou hru. Chess.com zároveň intenzivně investuje do odhalování podvodníků, kteří používají různé techniky, ať už před hrou, během ní nebo po ní.
Check Point se proto rozhodl otestovat populární online platformu Chess.com a pokusil se ověřit, zda je možné v partiích podvádět zneužitím nějaké bezpečnostní chyby. Výzkumný tým například zjistil, že lze vyhrát snížením soupeřova času, aniž by si soupeř všiml, co se vlastně stalo. „Stačilo, aby útočník zahájil šachovou partii s někým, koho si přidal do seznamu přátel před hrou nebo v jejím průběhu. Přidáním hráče do seznamu přátel se otevře možnost přidat soupeři 15 sekund navíc. Ale zneužitím zranitelnosti v této funkci bylo možné soupeřovi hodiny také vynulovat a vyhrát partii, aniž by to soupeř zjistil,“ říká Peter Kovalčík, regionální ředitel, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.
Zároveň bylo možné úspěšně získat šachové tahy potřebné k řešení online úloh, a zlepšovat si tak hodnocení. „Stačilo zachytit komunikaci mezi hráčem a serverem Chess.com. Server totiž omylem odesílal správné řešení úloh. Zneužít tuto zranitelnost a podvádět bylo možné i na soutěžích, kde vítěz získává finanční odměnu. Navíc bylo možné upravit čas, který byl potřebný k vyřešení úlohy,“ dodává Peter Kovalčík.
Check Point o zranitelnostech odpovědně informoval společnost Chess.com, která následně vydala opravu.
Více informací najdete v analýze výzkumného týmu Check Point Research:
https://research.checkpoint.com/2023/checkmate/
Novinky od českého týmu společnosti Check Point Software Technologies:
- Facebook: https://www.facebook.com/CheckPointCzech
- Twitter: https://twitter.com/CheckPointCzech
- LinkedIn: https://cz.linkedin.com/showcase/checkpointczech
Sledujte novinky o bezpečnostním týmu Check Point Research:
Sledujte novinky o společnosti Check Point Software Technologies:
- Twitter: http://www.twitter.com/checkpointsw
- Facebook: https://www.facebook.com/checkpointsoftware
- Blog: http://blog.checkpoint.com
- YouTube: http://www.youtube.com/user/CPGlobal
- LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.
