Уязвимост в електронната система на Световното първенство по футбол позволяваше на всеки да управлява излъчванията по целия свят
Изследовател с псевдоним BobDaHacker разказа в блога си, че благодарение на прост пропуск в сигурността на уебпортала той е успял да получи достъп до няколко вътрешни платформи на FIFA. Чрез тази уязвимост потенциален злоумишленик би могъл не само да гледа и излъчва мачове, но и напълно да контролира всички предавания на Световното първенство по футбол по целия свят, включително и да ги прекъсне.
„И така, във FIFA има нещо, което се нарича FIFA Agent Platform. Това е публичен портал, където можете да се регистрирате, за да станете лицензиран футболен агент. Изпращате личната си карта, потвърждавате електронната си поща и вече сте в мрежата. Доста просто. Това, което не очаквах, беше това, което се случи след това. Когато се регистрирате на agents.fifa.org, FIFA добавя вашия акаунт към своя клиент Microsoft Entra (по-рано Azure AD). Това е същият клиент, който осигурява работата на всички вътрешни платформи на FIFA. И имам предвид всички платформи.“
започва разказа си BobDaHacker
BobDaHacker просто се регистрирал като футболен агент, използвайки собствения си документ за самоличност. След това, благодарение на наличието на този акаунт и пропуск в API-то на FIFA, което не проверяваше дали потребителят наистина разполага с необходимите разрешения, той успял да получи достъп до вътрешните платформи на FIFA. Той описва подробно експериментите си в блога си.
Сред тях беше и система, която позволява на телевизионните оператори да контролират това, което се излъчва по телевизорите на хората по целия свят, както и изображенията на екраните на коментаторите по време на коментирането на мача. Така BobDaHacker можеше да прави каквото си поиска в системата, дори да прекъсва излъчванията.
„Това не беше някаква среда за разработка. Това не бяха тестови данни. Това беше панел за управление на прякото излъчване на Световното първенство по футбол през 2026 година. Всеки мач. Всеки ъгъл на камерата. Всеки URL адрес за RTMP запис. Всеки ключ за излъчване.“
пише BobDaHackerBobDaHacker е уведомил FIFA за пропуска още на 16 април, а организацията е отстранила проблема след няколко часа, но FIFA „никога не е реагирала“. Не е потвърдила съобщението. Не е благодарила. Не е обсъждала компенсация. Нищо“.