GGPoker plugs security hole discovered by Cardplayer Lifestyle contributor

Jaringan poker online terkemuka GGPoker telah menambal kerentanan yang secara teoritis dapat diakses untuk melihat kartu hole lawan di tabel online-nya. Situs tersebut bertindak cepat setelah diberi tahu tentang keberadaan kerentanan oleh pakar keamanan yang bermain di jaringan dan yang sesekali menyumbangkan bagian terkait keamanan ke Cardplayer Lifestyle.

Petugas keamanan Eddie Harari menemukan kerentanan dalam permainan GGPoker beberapa minggu yang lalu dan memberi tahu situs tentang masalah tersebut, yang diperbaiki GGPoker dalam dua minggu. Masalahnya melibatkan transmisi tidak terenkripsi dari beberapa jenis data pengguna, termasuk nama pengguna, nama pemain asli, aksi taruhan, dan, yang menjadi perhatian terbesar, data kartu hole.

Dalam mengakui dan memperbaiki kerentanan, GGPoker menyatakan bahwa sementara masalah ada dan telah dicolokkan, itu adalah “masalah tepi” dengan penerapan dunia nyata yang terbatas untuk calon cheat online. Masalahnya sudah diketahui di dalam GGPoker secara umum dan GGPoker menanggapi pengungkapan Harari dengan menutup lubang tersebut, melalui penerapan pelapisan SSL ke protokol transmisi tambahan. Sebelumnya, GGPoker menghindari penerapan SSL secara universal untuk proses transmisi datanya, karena dampak negatif pada waktu respons, terutama untuk pemain dengan konektivitas berkecepatan kurang dari tinggi.

Namun, setelah masalah ditemukan oleh orang luar, GGPoker tidak punya banyak pilihan selain menambahkan perlindungan SSL tambahan. GGPoker juga menyatakan bahwa mereka tidak yakin kerentanan tersebut pernah dieksploitasi oleh calon penipu online mana pun. “Tim keamanan kami, dibantu oleh alat dan peringatan otomatis, memantau permainan 24/7 dan akan membunyikan alarm pada setiap aktivitas yang mencurigakan,” kata jaringan tersebut kepada Cardplayer Lifestyle. “Jika kasus ekstrem seperti itu terjadi, kami akan mendeteksinya dan menerapkan tambalan untuk segera memperbaiki (yang siap dikirim) masalahnya.”

Satu kejutan menyebabkan yang lain

Seperti yang dirinci Harari dalam fitur Cardplayer Lifestyle-nya, dia membuat beberapa penemuan kerentanan terkait. Penelitian Harari berlangsung selama beberapa hari dan dimulai ketika dia memutuskan untuk memainkan permainan “Bagaimana jika?” mengenai apa yang menurutnya adalah transmisi data GGPoker yang sepenuhnya aman. Harari menyiapkan komputer kedua untuk memanfaatkan aliran data yang ditransfer antara komputernya dan server jaringan GGPoker.

Penemuan pertama Harari adalah bahwa data aliran obrolan di tabel GGPoker termasuk data berkode heksadesimal, tetapi tidak terenkripsi, yang mengidentifikasi tidak hanya nama layar pemain, tetapi juga nama aslinya. Harari menerbitkan tangkapan layar yang menunjukkan dia bermain di kulit 7XL GGPoker, dan ketika dia mengetik pesan obrolan percobaan, nama layar “The Hacker” -nya tidak hanya muncul di data aliran, tetapi juga nama aslinya (Ezra Eddie Hari).

Harari melanjutkan penyelidikannya tentang data lain apa yang mungkin dibiarkan tidak terenkripsi. Dia kemudian memeriksa layar data permainan-permainan yang sebenarnya dan mengidentifikasi apa arti data tertentu. Harari segera menemukan bahwa jika dia berada di jaringan yang sama dengan pemain lain, dia dapat mencegat aliran itu dan meluncurkan apa yang secara teknis dikenal sebagai serangan “man in the middle” (MITM). Dalam situasi ini, serangan seperti itu akan memungkinkan peretas mengirimkan pesan palsu kembali ke server game GGPoker bahwa pemain telah melakukan tindakan taruhan tertentu, seperti melipat tangan. Ini adalah contoh dari kerentanan “masalah tepi” seperti yang diakui oleh GGPoker, di mana pembajakan seperti itu akan berdampak hampir nol sebelum ditemukan oleh korban atau situs.

Namun, hal yang sama tidak dapat dikatakan untuk penemuan Harari berikutnya, dan itu adalah data kartu lubang yang tidak terenkripsi, contohnya ditunjukkan dalam fitur Harari. Harari merinci bagaimana setiap kartu di geladak diberi kode dua digit dari 0 hingga 51, sesuai dengan setiap kartu di geladak standar. Pengetahuan itu, jika disadap dari aliran tepat waktu, dapat diimplementasikan dalam skema curang kartu hole. Sekali lagi, bagaimanapun, pernyataan GGPoker tentang paparan kerentanan menegaskan bahwa tidak ada kecurangan yang mengeksploitasi kerentanan yang sekarang telah ditambal diyakini telah terjadi.

Pakar keamanan teknologi bermain poker kedua, Hank Nussbacher, memeriksa dan memverifikasi klaim Harari sebelum artikel tersebut dipublikasikan oleh Cardplayer Lifestyle.

Kerentanan poker online berulang

Altruisme Harari dalam memberi tahu GGPoker tentang kerentanan kemungkinan besar membantu menyelamatkan jaringan dari beberapa masalah di masa mendatang. Ceritanya memiliki beberapa preseden dan persamaan juga, berasal dari hari-hari awal poker. Situs poker online pertama, Planet Poker, pernah memiliki kelemahan signifikan yang diekspos dengan cara altruistik serupa oleh Cigital, Inc., yang menemukan bahwa Planet Poker tidak menggunakan RNG yang sebenarnya untuk mengacak kartu yang dibagikan, melainkan menerapkan pengulangan dan dek diprediksi. Namun, pengungkapan tersebut masih melumpuhkan Planet, dan saat para pesaingnya diluncurkan dan berkembang, situs tersebut tidak dapat pulih dan akhirnya ditutup.

Contoh yang lebih baru yang melibatkan akses yang tidak diinginkan ke data kartu hole terjadi pada tahun 2013, ketika poker Cina berwajah terbuka berbasis aplikasi secara singkat menjadi kemarahan di antara beberapa pemain game yang paling terkenal. Banyak peserta game mengunduh game play-money yang diterbitkan oleh pengembang perangkat lunak China, kemudian bermain untuk taruhan mereka sendiri dan melunasi hutang secara terpisah. Salah satu pemain itu, Hall of Famer Barry Greenstein, mencurigai ada sesuatu yang salah setelah kekalahan yang berkepanjangan melawan musuh tertentu. Greenstein meminta keponakannya, seorang pengembang aplikasi dan pemrogram, untuk melihat ke dalam aplikasi OFC, dan keponakan itu segera menemukan bahwa seluruh 13 kartu yang dibagikan kepada seorang pemain dapat dilihat sebelum muncul satu per satu, sebagai open-faced Cina dimainkan. Greenstein tidak pernah menyebutkan nama pemain lain, tetapi pengungkapan tersebut dengan cepat membekukan aksi OFC berbasis aplikasi.

Bagaimana para pemain OFC itu melunasi hutang mereka juga merupakan pendahulu dari aplikasi poker berbasis klub yang melahirkan adegan bawah tanah yang berkembang pesat, pertama di Asia dan kemudian secara global, yang berlanjut hingga hari ini. Namun, tidak semua aplikasi yang digunakan oleh pemain untuk berjudi secara diam-diam aman. Pada tahun 2020, aplikasi Poker Mavens yang ditawarkan oleh Briggsoft Inc. juga direkayasa ulang, dan cheat yang giat secara singkat menjual cheat peretasan/penerjemahan yang menunjukkan, secara real time, kartu dipegang oleh lawan seseorang di meja.

Author: Kyle Butler