A plataforma “Chess.com” é bastante usada para quem pretenda realizar partidas online de xadrez, sendo que conta também com uma vertente social e de ranking para os utilizadores. No entanto, foi recentemente descoberta uma vulnerabilidades na plataforma que poderia ser usadas para comprometer as contas de milhares de utilizadores no serviço.
A descoberta foi realizada pelo investigador de segurança Sam Curry, que descobriu uma falha na API da plataforma que permitia aos atacantes terem total controlo das contas das vítimas, além de acederem a toda a informação da mesma.
A falha permitia aos atacantes terem acesso aos dados dos utilizadores, como o email, sabendo apenas o nome de utilizador dos mesmos. A falha foi considerada de média gravidade, visto que apenas permitia o acesso a algumas informações das contas.
No entanto, a situação torna-se mais grave quando esta falha pode ser também aproveitada para ter controlo da sessão de qualquer utilizador da plataforma, incluindo dos administradores da mesma. O investigador afirma que, com a exploração da falha, foi possível controlar a conta de um dos administradores do Chess.com, na qual seria possível recolher dados de qualquer utilizador registado no serviço.
Com este acesso de administrador, os atacantes poderiam aceder aos registos de qualquer utilizador na plataforma, modificar os mesmos ou até modificar alguns parâmetros das contas e dos jogos.
A falha foi reportada aos administradores da plataforma, tendo sido corrigida em menos de duas horas. De acordo com o investigador, a falha não permitia aceder a senhas ou a outra informação “sensível”, embora fosse possível usar os dados recolhidos para outras atividades maliciosas.
Não se acredita que a falha tenha sido explorada maliciosamente antes de ter sido corrigida.
Nenhum comentário
Seja o primeiro!