Служба безопасности Poker Table Ratings обнаружила серьезную уязвимость в шифровании кода, который используется в сети Cake – в сеть входят румы Cake Poker, Cake Poker (beta), Doyle’s Room, RedStarPoker.com, Unabomber Poker, Intertops Poker, Sports Interaction.
Проблема схожа с той, что не так давно была обнаружена в сети Cereus. Тогда опасность грозила только пользователям с незащищенным беспроводным интернетом. Сейчас они тоже в первой группе риска, но PTR подчеркивает, что вид интернет-соединения не имеет решающего значения.
Технические подробности описаны в отчете на сайте PTR (http://www.pokertableratings.com/blog/2010/07/ptr-security-alert-cake-poker-network). Мошенникам достаточно подключиться к интернет-соединению пользователя, и они получат доступ к картам и информацию о счете. Сотрудники PTR записали видео с наглядной демонстрацией процесса взлома. Эксперименты проводились со специально созданным счетом на play money столах, никто из игроков не пострадал.
Вызывает удивление, как сайты с таким низким уровнем безопасности получают лицензии. Похоже, этот момент вообще никак не контролируется.
PTR рекомендуют игрокам сменить пароли и временно отказаться от игры в сети Cake. Тем, кто не может и дня прожить без покера, советуют выбрать самый безопасный вариант подключения – домашний проводной интернет. Не стоит запускать клиент в аэропортах, ресторанах и других общественных местах.
Один из менеджеров сети Cake (кстати бывший генеральный менеджер PokerStars и CardRunners) Ли Джонс не смог скрыть своего удивления. В официальной теме CakePoker (http://forumserver.twoplustwo.com/28/internet-poker/official-cakepoker-feedback-thread-464370) на 2+2 он признался, что для него случившееся – полная неожиданность, и пообещал срочно связаться с представителями PTR.
Когда в мае всплыла история с уязвимостью сети Cereus, Ли направил запрос в службу безопасности Cake, где его заверили, что по уровню защиты их софт не уступает крупнейшим покерным сайтам. Чтобы успокоить игроков, эта информация была озвучена (http://forumserver.twoplustwo.com/showpost.php?p=18882145&postcount=4875) в той же теме. На вопрос, понесут ли недобросовестные сотрудники какую-то ответственность и продолжат ли работать в компании, Ли ответил, что это внутренняя информация.
Многие недоумевали, почему Cake не сообщил об опасности всем своим клиентам по электронной почте, ведь многие не читают новостные сайты и форумы. На это Джонс ответил лишь спустя два дня с момента опубликования отчета PTR, новость поместили на сайт, и теперь ее видит каждый при заходе в лобби CakePoker под своим логином.
В официальном заявлении (http://forumserver.twoplustwo.com/showpost.php?p=20496871&postcount=5944) CakePoker подчеркивается, что возможность взлома действительно существует, но её вероятность крайне мала, и на данный момент никто не пострадал. Все силы компании направлены на поиски решения проблемы, ведь безопасность клиентов превыше всего. В общем, стандартный набор фраз для таких историй.
О том, что дыра в безопасности устранена, пока не сообщалось.