פופולרי – וחשוף: צ'ק פוינט מצאה פרצות אבטחה בפורטנייט

המשחק הפופולרי חשוף למתקפות: צ'ק פוינט הודיעה היום (ד') כי מצאה פרצות אבטחה בפורטנייט, שמאפשרות להאקרים לחדור לחשבונות של משתמשים, לגנוב את הפרטים האישיים שלהם, להאזין לשיחות שהם מבצעים ואף לדבר אתם. ענקית הסייבר הישראלית הודיעה על הפרצות ל-Epic Games, שפיתחה את המשחק, וזו תיקנה אותן.

מדי חודש משחקים בפורטנייט, על פי ההערכות, קרוב ל-80 מיליון איש, רבים מהם ילדים ובני נוער. המשחק הגיע לפופולריות כה רבה על אף שגוגל סירבה להעלות אותו לחנות האפליקציות שלה, Google Play, כך שמשתמשי אנדרואיד יכולים להוריד אותו רק ממקורות אחרים. עם זאת, הוא זמין ב-App Store, עבור משתמשי המכשירים של אפל, וזכה שם למיליוני הורדות.

הפגיעויות שאיתרו החוקרים מאפשרות, למעשה, השתלטות מוחלטת על החשבונות האישיים של השחקנים, מה שמציג להם ומאפשר להם שימוש בכל הפרטים, כולל מספרי כרטיסי האשראי, שלהם ושל השחקנים מולם. הפורץ יכול לבצע רכישות בתוך המשחק במטבע הווירטואלי שלו, V-Buckets, וכאמור גם לשמוע את קולותיהם של המשתמשים בזמן אמת ולדבר אתם ישירות.

החולשות שאותרו קיימות בתהליך הרישום וזיהוי המשתמשים במשחק הרשת, בדגש על מתודולוגיית אימות הזהות של המשתמש בכניסתו למשחק באמצעות פרטי חשבונות אחרים שבאמצעותם הוא נכנס למשחק – בין אם בפייסבוק, גוגל, נינטנדו, פלייסטיישן או xBox. לאחר התחברות מוצלחת, מונפק למשתמש טוקן ייחודי, שמשמש אותו לצורך הזדהות בעת ההתחברות למשחק הרשת בפלטפורמה שנבחרה. התוקפים יכולים, או יותר נכון היו יכולים, אחרי שהמשתמש לוחץ על לינק ייעודי שהם שולחים אליו. הלינק נחזה להיות מהדומיין של המשחק, מה שלא מעורר אצל המשתמש הממוצע חשש ונראה לו כפעולה תמימה ונורמלית לחלוטין. עם הלחיצה על הלינק, התוקף משיג את פרטי אימות הזהות של המשתמש, מבלי שהמשתמש הקליד אותם בעצמו.

איך מתגוננים?

בעבר פורסמו דיווחים על הונאות בחשבונות משתמשים של פורטנייט שבוצעו על ידי הפניית המשתמשים לאתרים מזויפים, שבהם הקלידו המשתמשים את פרטיהם האישיים בכדי לבצע רכישות במשחק. לעומת זאת, הפרצות שאיתרו חוקרי צ'ק פוינט הן הראשונות שפורסמו שמאפשרות לפגוע במשתמשים ללא ידיעתם ומבלי שהם נאלצו להעביר את פרטיהם לכל גורם אחר.

צ'ק פוינט ממליצה למשתמשים בפלטפורמות דיגיטליות להשתמש בזיהוי דו שלבי (2 Factor authentication) כאמצעי הגנה למניעת גניבות חשבון ושמירה על הפרטיות. כמו כן, היא ממליצה להם לבחון את מידת הלגיטימיות של הלינקים שעליהם הם לוחצים ובאילו אתרים הם משאירים את פרטיהם האישיים.

עודד ואנונו, ראש מחלקת מחקר חולשות מוצרים בצ'ק פוינט, אמר כי "פורטנייט הוא אחד התחביבים הפופולריים ביותר של ילדי העולם כולו. החולשות שמצאנו מאפשרות לתוקפים לבצע פגיעות חמורות מאוד בפרטיות שלהם, וניצול מסוכן של זהותם ופרטיהם האישיים. בשנה האחרונה ראינו פעילות הולכת וגוברת של פושעי סייבר לתקוף שירותי ענן ולהשיג מהם כמות אדירה של פרטים אישיים המאוחסנים בהם. הם עושים זאת דרך אותו תהליך אימות זהות, שגם כאן הוכחנו שניתן להשתלט עליו. גניבת זהויות משתמשים ברשת מהווה אחד האיומים המשמעותיים בעולם הסייבר של ימינו".