Las presuntas vulnerabilidades en Chess.com podrían exponer a los usuarios
728 x 90 px
Check Point Research (CPR) identificó múltiples vulnerabilidades en la plataforma para jugar ajedrez Chess.com.. Si no se repara, un atacante puede usar las fallas de seguridad para hacer trampa en los juegos de ajedrez y resolver acertijos, sin siquiera jugar.
La explotación de las vulnerabilidades se desencadena al manipular tanto la API de Chess Game como la API de resolución de rompecabezas de la plataforma Chess.com. CPR pudo disminuir el tiempo de un oponente y ganar juegos, así como extraer movimientos de ajedrez exitosos para resolver clasificaciones de rompecabezas en línea.
Chess.com cuenta con más de 100 millones de jugadores en todo el mundo y los premios pueden alcanzar hasta un millón de dólares (USD $1M).
(Automático aquí)
Metodología de ataque
Check Point Research (CPR) describió la metodología de ataque de la siguiente manera:
1. El atacante comienza un juego de ajedrez con alguien que agregó a su lista de amigos antes o durante el juego.
2. Al agregar un jugador a la lista de amigos, el atacante abre la solicitud API de ajuste del reloj que le permite darle al oponente 15 segundos adicionales
3. El atacante manipula la API de ajuste del reloj para llevar a CERO el reloj del oponente y gana el juego sin que el oponente se dé cuenta.
Divulgación responsable:
CPR divulgó responsablemente sus hallazgos a Chess.com, quien posteriormente emitió un parche.
