Автор: Андрій Русанов Автор новин “Межі” з чотирирічним досвідом редагування стрічки. Ґік у всьому, про що пишу, але найбільше у комп’ютерах.
Категорії: Софт, Кібербезпека, Хакери, Чемпіонату світу з футболу
Дослідниця з псевдонімом BobDaHackerрозповілау своєму блозі, що завдяки простому недоліку у безпеці вебпорталу вона змогла отримати доступ до кількох внутрішніх платформ FIFA. Зловмисник на її місці міг би не тільки дивитися та транслювати матчі, але й повністю контролювати всі трансляції Чемпіонату світу з футболу в усьому світі, включно з їхнім припиненням.
“Отже, у FIFA є така річ, яка називається FIFA Agent Platform. Це публічний портал, де ви можете зареєструватися, щоб стати ліцензованим футбольним агентом. Ви надсилаєте своє посвідчення особи, підтверджуєте свою електронну пошту, і ви в мережі. Досить просто.Чого я не очікувала, так це того, що сталося далі.Коли ви реєструєтесь на agents.fifa.org, FIFA додає ваш обліковий запис до свого клієнта Microsoft Entra (раніше Azure AD). Це той самий клієнт, який забезпечує роботу всіх внутрішніх платформ FIFA. І я маю на увазі всіх”, – починає свою розповідь BobDaHacker, далі також глузуючи з того факту, що “агентська платформа FIFA офіційно називається FAP”.
“Отже, у FIFA є така річ, яка називається FIFA Agent Platform. Це публічний портал, де ви можете зареєструватися, щоб стати ліцензованим футбольним агентом. Ви надсилаєте своє посвідчення особи, підтверджуєте свою електронну пошту, і ви в мережі. Досить просто.
Чого я не очікувала, так це того, що сталося далі.
Коли ви реєструєтесь на agents.fifa.org, FIFA додає ваш обліковий запис до свого клієнта Microsoft Entra (раніше Azure AD). Це той самий клієнт, який забезпечує роботу всіх внутрішніх платформ FIFA. І я маю на увазі всіх”, – починає свою розповідь BobDaHacker, далі також глузуючи з того факту, що “агентська платформа FIFA офіційно називається FAP”.
Хакерка просто зареєструвалася футбольним агентом з використанням власного посвідчення особистості. Потім, завдяки наявності цього облікового запису та недоліку в API FIFA, який не перевіряв, чи дійсно користувач має належні дозволи, вона змогла отримати доступ до внутрішніх платформ FIFA. Вона детально писала свої експерименти у блозі.
Серед них була й система, яка дозволяє мовникам контролювати те, що відображається на телевізорах людей по всьому світу, а також зображення на екранах коментаторів під час озвучування матчу. Вона могла робити у системі що завгодно, навіть припиняти трансляції.
“Це не було якесь середовище розробки. Це не були тестові дані. Це була панель керування прямими трансляціями для Чемпіонату світу з футболу 2026. Кожен матч. Кожен ракурс камери. Кожна URL-адреса для RTMP-запису. Кожен ключ трансляції”, – пише BobDaHacker.
“Це не було якесь середовище розробки. Це не були тестові дані. Це була панель керування прямими трансляціями для Чемпіонату світу з футболу 2026. Кожен матч. Кожен ракурс камери. Кожна URL-адреса для RTMP-запису. Кожен ключ трансляції”, – пише BobDaHacker.
BobDaHacker повідомила FIFA про недолік 16 квітня, організація виправила проблему через кілька годин. Але FIFA “так і не відреагувала. Не підтвердила повідомлення. Не подякувала. Не обговорювала компенсацію. Нічого”.
Читайте також: У Microsoft 365 Copilot виявили критичний баг, який дозволяв викрадати конфіденційні дані одним кліком
