Największy portal szachowy z lukami bezpieczeństwa.
Oszuści mogli manipulować wynikami w Chess.com

Platforma Chess.com, z usług której korzysta przeszło 100 mln graczy, posiadała luki bezpieczeństwa mogące zagrozić uczciwości rozgrywek – informują specjaliści bezpieczeństwa cybernetycznego z Check Point Research. Ominięcie zabezpieczeń pozwalało na manipulowanie wynikami gry. Sprawa nabiera powagi przy uwzględnieniu nagród, sięgających nawet miliona dolarów!

Analitycy bezpieczeństwa cybernetycznego z Check Point Research wzięli pod lupę zabezpieczenia platformy Chess.com, będącej największym internetowym centrum rozgrywek szachowych ze ponad 100 mln członków, 17 mln codziennie rozgrywanych partii oraz nagrodami sięgającymi miliona dolarów. Ich praca doprowadziła do zidentyfikowania kilku luk, które mogły być wykorzystywane do oszukiwania społeczności i zakłócania rozgrywek.

- Znaleźliśmy wiele luk w zabezpieczeniach platformy Chess.com, które pozwalają atakującemu oszukiwać w rozgrywkach szachowych i ustalając wyniki nawet bez uczestniczenia w grze. Na Chess.com jest ponad 100 milionów graczy, a wygranie gry przez oszukiwanie może obniżyć ogólny wynik przeciwnika, jednocześnie zwiększając wynik osoby oszukującej. Potencjalnie napastnicy mogli wykorzystać luki w zabezpieczeniach, również, aby zdobyć cenne nagrody – zauważa Oded Vanunu, kierownik działu badań nad podatnościami w Check Point Research.

Wykorzystanie luk jest możliwe przez manipulację zarówno interfejsem API gry w szachy, jak i interfejsem API puzzli platformy Chess.com. Specjaliści bezpieczeństwa byli w stanie skrócić czas przeciwnika i wygrać partie, a także wyodrębnić udane ruchy szachowe, aby rozwiązać zadania stawiane w opcji łamigłówki szachowej (Chess Puzzle).

 Jak mogło dochodzić do oszustw?

1. Atakujący rozpoczyna partię szachów z kimś, kogo dodał do swojej listy znajomych przed lub w trakcie gry
2. Dodając gracza do listy znajomych, atakujący otwiera żądanie API Adjustclock, które pozwala mu dać przeciwnikowi dodatkowe 15 sekund
3. Atakujący manipuluje interfejsem API Adjustclock, aby wyzerować zegar przeciwnika i wygrywa grę bez powiadomienia przeciwnika

Check Point Research natychmiast ujawnił swoje ustalenia firmie Chess.com, która następnie wydała łatkę rozwiązującą problem.

Pełna analiza podatności dostępna jest tutaj: https://research.checkpoint.com/2023/checkmate/