חוקרי הסייבר של חברת צ'ק פוינט, ערן ווקנין ואלון בוקסינר, איתרו חולשות אבטחה חמורות במשחק הרשת הפופולרי ביותר בעולם - פורטנייט. ניתן לשחק בו במגוון פלטפורמות, בהן iOS, אנדרואיד, מחשבים וקונסולות ומדי חודש עושים זאת קרוב ל-80 מליון שחקנים ברחבי העולם. החולשות שאיתרו החוקרים מאפשרות למעשה השתלטות מוחלטת על החשבונות האישיים של משתמשי המשחק, ובכלל זאת הפרטים האישיים של המשתמש.
בין היתר, בעקבות הפרצה, האקרים יכלו להשיג את פרטי כרטיס האשראי של המשתמשים וכן את פרטיהם והנתונים של המשתמשים האחרים המשחקים איתם. כמו כן, החולשות מאפשרות לפורץ לבצע רכישות בתוך המשחק במטבע הוירטואלי שלו (הקרוי (V-Buckets וכן לשמוע בשידור חי את קולותיהם של המשתמשים בחשבונות בזמן אמת ואת כל המתרחש בסביבתם, ואף לדבר איתם ישירות.
בין היתר, בעקבות הפרצה, האקרים יכלו להשיג את פרטי כרטיס האשראי של המשתמשים וכן את פרטיהם והנתונים של המשתמשים האחרים המשחקים איתם. כמו כן, החולשות מאפשרות לפורץ לבצע רכישות בתוך המשחק במטבע הוירטואלי שלו (הקרוי (V-Buckets וכן לשמוע בשידור חי את קולותיהם של המשתמשים בחשבונות בזמן אמת ואת כל המתרחש בסביבתם, ואף לדבר איתם ישירות.
החולשות שאותרו, קיימות בתהליך הרישום וזיהוי המשתמשים של משחק הרשת. הן נמצאו בפלטפורמת המשחק של המפעילה (EPIC GAMES), בדגש על מתודולוגיית אימות הזהות של המשתמש בכניסתו למשחק באמצעות פרטי החשבונות השונים בהם פייסבוק, ג'ימייל, נינטנדו, פלייסטיישן ואקסבוקס. לאחר התחברות מוצלחת, מונפק למשתמש טוקן ייחודי שמשמש אותו לצורך הזדהות בעת ההתחברות למשחק הרשת בפלטפורמה שנבחרה. החולשות מנוצלות לתקיפה באמצעות לחיצה של המשתמש על לינק ייעודי ששולח התוקף ומגיע, לכאורה, מהדומיין של המשחק. מדובר בדבר שנראה למשתמש עצמו כפעולה תמימה ונורמלית לחלוטין. עם הלחיצה על הלינק, התוקף משיג את פרטי אימות הזהות של המשתמש, וזאת מבלי שהמשתמש הקליד אותם בעצמו.
בעבר פורסמו דיווחים על הונאות בחשבונות משתמשים של פורטנייט, שבוצעו על ידי הפניית המשתמשים לאתרים מזויפים שבהם הקלידו המשתמשים את פרטיהם האישיים בכדי לבצע רכישות במשחק. לעומת זאת, החולשות שאיתרו חוקרי צ'ק פוינט הן הראשונות שפורסמו שמאפשרות לפגוע במשתמשים ללא ידיעתם ומבלי שהם נאלצו להעביר את פרטיהם לכל גורם אחר.
עודד ואנונו, ראש מחלקת מחקר חולשות מוצרים בצ'ק פוינט הסביר כי "פורטנייט הוא היום אחד מהתחביבים הפופולריים ביותר של ילדי העולם כולו. החולשות שמצאנו מאפשרות לתוקפים לבצע פגיעות חמורות מאד בפרטיות שלהם וניצול מסוכן של זהותם ופרטיהם האישיים". הוא ציין כי "בשנה האחרונה, ראינו פעילות הולכת וגוברת של פושעי סייבר לתקוף שירותי ענן ולהשיג מהם כמות אדירה של פרטים אישיים המאוחסנים בהם. הם עושים זאת דרך אותו תהליך אימות זהות שגם כאן הוכחנו שניתן להשתלט עליו". הוא סיכם ואמר כי "גניבת זהויות משתמשים ברשת מהווה אחד מהאיומים המשמעותיים בעולם הסייבר של ימינו" .
צ'ק פוינט הודיעה לחברת Epic Games על החולשות וזו הכירה בהן ותיקנה אותן. בחברת הסייבר ממליצים למשתמשים בפלטפורמות דיגיטליות להשתמש בזיהוי דו שלבי כאמצעי הגנה למניעת גניבות חשבון ושמירה על הפרטיות. על המשתמשים לבחון את מידת הלגיטימיות של הלינקים עליהם הם לוחצים ובאילו אתרים הם משאירים את פרטיהם האישיים.