Хакер смог взломать прямые эфиры ЧМ по футболу через регистрацию на сайте FIFA
Хакер смог взломать прямые эфиры ЧМ по футболу через регистрацию на сайте FIFA
Специалист по безопасности, известный как Bob Dahacker, обнаружил критическую уязвимость на платформах FIFA. Всё началось с регистрации на публичном портале для футбольных агентов. После создания аккаунта он получил доступ к единой системе Microsoft Entra, через которую аутентифицируются все внутренние сервисы FIFA.
Оказалось, что серверная часть платформ не проверяла права доступа. Хотя интерфейс показывал сообщение об ошибке, бэкенд отдавал полные данные любому авторизованному пользователю. Так хакер получил доступ к панели управления стримингом чемпионата мира с RTMP-ссылками, ключами трансляций и возможностью запускать или останавливать любой эфир.
С их помощью можно было полностью подменить прямой эфир любого матча например, показать вместо футбола ролик с Rick Astley Never Gonna Give You Up. Кроме того, открылся доступ к системе для комментаторов, где хранились статистика и редакционные заметки, а также к внутренней базе FIFA с отчётами о трансферах и доходах.
Уязвимость была активна во время проведения чемпионата. Найти контакты FIFA для отчёта оказалось невозможно: у организации нет программы по поиску уязвимостей, а письма и звонки игнорировали. В итоге хакеру пришлось звонить в CISA, MediaKind и даже ФБР. Спустя несколько часов доступ перекрыли, но официального ответа от FIFA так и не пришло. Организация до сих пор не ответила на отчёт.
А вы следите за ЧМ?