Дослідниця з кібербезпеки, яка виступає під псевдонімом BobDaHacker, виявила критичну вразливість у системі FIFA, яка потенційно могла надати зловмисникам повний контроль над трансляціями Чемпіонату світу з футболу по всьому світу. Проблема полягала у слабкій перевірці дозволів користувача у внутрішніх платформах організації.
Виявлення вразливості
Як розповіла BobDaHacker у своєму блозі, вона змогла отримати доступ до низки внутрішніх систем FIFA завдяки простому недоліку у безпеці вебпорталу. Дослідниця зареєструвалася як футбольний агент через публічну платформу FIFA Agent Platform (FAP). Після реєстрації її обліковий запис був доданий до клієнта Microsoft Entra (раніше Azure AD), який забезпечує роботу всіх внутрішніх платформ FIFA.
Шлях до контролю над трансляціями
Використовуючи надані облікові дані та вразливість в API FIFA, яка не перевіряла належні дозволи користувача, BobDaHacker отримала доступ до внутрішніх систем. Серед них була платформа, яка дозволяє мовникам керувати контентом, що транслюється мільйонам глядачів. Це включало можливість змінювати зображення на екранах, контролювати кожен ракурс камери, ключі трансляції та навіть припиняти трансляції в реальному часі. 
“Це була панель керування прямими трансляціями для Чемпіонату світу з футболу 2026. Кожен матч. Кожен ракурс камери. Кожна URL-адреса для RTMP-запису. Кожен ключ трансляції”, – зазначила дослідниця. 
Реакція FIFA
BobDaHacker повідомила FIFA про виявлений недолік 16 квітня. Організація оперативно виправила проблему протягом кількох годин. Однак, за словами дослідниці, FIFA не надала жодної відповіді, не підтвердила отримання інформації, не висловила подяки та не обговорювала можливу винагороду. 
Вердикт ІТ-Блогу: Ця інформація є важливим нагадуванням для всіх організацій про необхідність постійного моніторингу безпеки своїх систем. Для користувачів FIFA Agent Platform, хоча проблема й усунена, варто пам’ятати про необхідність відповідального ставлення до своїх облікових даних.
Оригінал статті: mezha.ua