פיקוד העורף הגל השקט

הגדרת ישובים להתרעה
      הגדרת צליל התרעה

      נושאים חמים

      חברת אבטחת המידע צ'ק פוינט: "מצאנו פירצת אבטחה חמורה במשחק פורטנייט"

      גניבת פרטי האשראי, האזנה למשחק, אפשרות לדבר עם המשתמשים וביצוע רכישות באמצעות אשראי המשתמש. חוקרי חברת אבטחת המידע צ'ק פוינט מצאו פירצת אבטחה חמורה במשחק הפופולרי בעולם פורטנייט. הפירצה תוקנה אחרי שצ'ק פוינט עדכנה את החברה, אולם היא חושפת סכנה חמורה

      משחק פורטנייט (צילום מסך)
      קיבלתם מייל שנראה תקין? תחשבו שוב, ייתכן ומדובר במייל מהאקרים. (צילום מסך)

      השתלטות על חשבונות המשתמשים, גניבת פרטי האשראי והמידע האישי, האזנה למיקרופון וגם אפשרות לדבר עם השחקנים: חוקרי הסייבר של חברת אבטחת המידע צ'ק פוינט, איתרו חולשות אבטחה חמורות במשחק הרשת הפופולרי בעולם - פורטנייט. למשחק מעל ל-80 מיליון שחקנים שמריצים את המשחק במגוון פלטפורמות, באייפון, אנדרואיד, מחשבים, בקונסולות השונות ועוד. החולשות שאיתרו החוקרים מאפשרות השתלטות מוחלטת על החשבונות האישיים, לרבות הרפרטים האישיים וגם פרטי כרטיס האשראי. עוד החולשה מאפשרת לבצע רכישות בתוך המשחק במטבע הווירטואלי וגם לשמוע את השחקנים בזמן אמת ואף לדבר איתם. בצ'ק פוינט לא פירטו האם פירצת האבטחה נוצלה על ידי האקרים או שמה אותרה לראשונה על ידם.

      עודד ואנונו, ראש מחלקת מחקר חולשות מוצרים בצ'ק פוינט אמר :"פורטנייט הוא היום אחד מהתחביבים הפופולריים ביותר של ילדי העולם כולו. החולשות שמצאנו מאפשרות לתוקפים לבצע פגיעות חמורות מאד בפרטיות שלהם וניצול מסוכן של זהותם ופרטיהם האישיים. בשנה האחרונה ראינו פעילות הולכת וגוברת של פושעי סייבר לתקוף שירותי ענן ולהשיג מהם כמות אדירה של פרטים אישיים המאוחסנים בהם".

      החולשות שאותרו נמצאו בפלטפורמות המשחק של הסטודיו שמפתח את פורנייט, חברת Epic Games. מדובר על חולשה במתודולוגיית אימות הזהות של המשתמש בכניסות למשחק באמצעות פרטי חשבונות הפייסבוק, גוגל, פליסטיישן, אקסבוקס ונינטנדו. אחרי התחברות מוצלחת, מונפק למשתמש אישור יחודי המשמש אותו לצורך הזדהות בעת ההתחברות למשחק הרשת בפלטפורמה שנבחרה. החולשות מנוצלות לתקיפה באמצעות לחיצה של המשתמש על קישור ייעודי ששולח התוקף ומגיע לכאורה, מהכתובת של המשחק - מה שעשוי להיראות למשתמש כפעולה תמימה ותקינה. עם הלחיצה על הקישור, התוקף משיג עת פרטי אימות הזהות של המשתמש, וזאת מבלי שהמשתמש כלל הקליד אותם.

      גיף פורטנייט (Giphy)
      לא ברור האם הפירצה נוצלה על ידי האקרים. (צילום מסך)

      בעבר פורסמו דיווחים על הונאות בחשבונות משתמשים של פורטנייט שבוצעו על ידי הפניית המשתמשים לאתרים מזויפים שבהם הקליד המשתמשים את פרטיהם האישיים בכדי לבצע רכישות במשחק. אולם החולשות שאיתרו חוקרי צ'ק פוינט, הן הראשונות שפורסמו המאפשרות לפגוע במשתמשים ללא ידיעתם ומבלי שהם נאלצו להעביר את פרטיהם לכל גורם אחר. צ'ק פוינט יידעה את חברת Epic Games על החולשות והיא הכירה ותקינה אותן. החשיפה של צ'ק פוינט מציגה שגם כשאתם מקבלים קישור למייל שנראה תקין וכשר, הוא עשוי להימצא כזדוני, למרות שהגיע ממקור אמין לכאורה. בכל מקרה כזה, מומלץ שתפתחו את האתר הרשמי ואל תלחצו על קישורים במייל, גם אם הם נראים ממקור אמין ותקין.