Experten für Sicherheitslücken des weltweit agierenden Anbieters von Cyber-Sicherheitslösungen Check Point haben eine der führenden Schach-Plattformen überprüft. Chess.com, mit über 100 Millionen Mitgliedern und mehr als 17 Millionen gespielten Online-Partien am Tag, setzt einen starken Akzent auf Foren und Blogs und ermöglicht Spielern mittels sozialer Funktionen, Kontakte zu knüpfen, Gedanken und Erfahrungen über das Schachspielen auszutauschen sowie voneinander zu lernen. Außerdem richtet Chess.com Meisterschaften aus, in der Teilnehmer um ein Preisgeld von 1.000 000 US-Dollar und den Titel des Chess.com Global Champion konkurrieren.
Während Chess.com zur Gewährleistung eines fairen Spielbetriebs in die Identifizierung von Betrügern investiert und Züge, die ein Mensch mit Figuren aus einer bestimmten Stellung heraus machen könnte, mit maschinellem Lernen abgleicht, hat es trotzdem wiederholt Betrugsvorwürfe gegen Verfahrensweisen und sogar gegen einzelne Spieler gegeben. So wurde etwa der Rückzug des seit 2013 amtierenden norwegischen Schachweltmeister Magnus Carlsen von einem Turnier im Jahr 2022 damit in Zusammenhang gebracht, dass Vorwürfe im Raum standen, Hans Niemann (ein amerikanischer Großmeister) habe während der Partie betrogen. Die Analysten der Check-Point-Forschungsabteilung haben nun die beliebte Online-Plattform auf Sicherheitslücken überprüft.
Um Online-Puzzle-Herausforderungen zu lösen und einen hohen Puzzle-Wert zu erreichen, ist es tatsächlich möglich, erfolgreiche Schachzüge zu extrahieren. Dafür muss lediglich die Gesamtkommunikation zwischen einem Spieler und der Chess.com-Website abfangen werden. Der Server der Chess.com-Website versendet nämlich stets auch die richtige Lösung des Rätsels. Indem die extrahierten korrekten Züge bei den Rätselmeisterschaften eingereicht werden, könnten so kriminelle Akteure gewinnen und das Preisgeld abgreifen. Um nicht aufzufallen, könnten solche Akteure zudem auch die Zeit ändern, die sie für die Lösung benötigt haben – und damit an realistische Rätselergebnisse anpassen, um unter dem Radar der Betrugssoftware der Schach-Seite zu bleiben.
Die perfideste Betrugsmethode entdeckten die Check-Point-Analysten allerdings bei der Überprüfung direkter Online-Schachpartien: Absolvieren Spieler eine Partie, die auf der Chess.com-Plattform über eine Freundschaftsanfrage zustande kommt, kann ein Spieler dem anderen eine Zeitgutschrift von 15 Sekunden schenken. Diese Funktion können Betrüger missbrauchen, indem sie die Kommunikation mit dem Chess.com-Server abfangen und die Befehlszeilen so abändern, dass dem Mitspieler im Endeffekt nicht Sekunden gutgeschrieben, sondern abgezogen werden. Unbemerkt können Betrüger so die Zugzeit von Mitspielern verkürzen. Ist diese abgelaufen, hat der jeweilige Betrüger gewonnen – und rückt im Chess.com-eigenen Ranking automatisch nach oben, was solchen Akteuren Zugang zu prestigeträchtigen Partien verschafft. Die Ergebnisse ihrer Analysen haben die Check-Point-Experten detailliert dokumentiert und an Chess.com weitergeleitet; der Online-Schach-Anbieter hat die Sicherheitslücken mittlerweile geschlossen.
