У світі кібербезпеки, де кожен новий день приносить непередбачувані виклики, нещодавній випадок із FIFA ставить під сумнів надійність захисту даних навіть найвпливовіших спортивних організацій. Дослідниця, що виступає під псевдонімом BobDaHacker, виявила серйозну вразливість у системі безпеки Міжнародної федерації футболу, яка потенційно могла б надати зловмиснику повний контроль над трансляціями Чемпіонату світу з футболу.
Деталі вразливості та її наслідки
BobDaHacker розповіла у своєму блозі, що знайшла критичний недолік у безпеці вебпорталу FIFA, який дозволив їй отримати несанкціонований доступ до кількох внутрішніх платформ організації. Ця вразливість, як зазначає дослідниця, полягала в тому, що FIFA інтегрувала свою публічну “FIFA Agent Platform”, призначену для реєстрації футбольних агентів, з клієнтом Microsoft Entra (раніше Azure AD). Цей самий клієнт, за словами BobDaHacker, забезпечує роботу всіх внутрішніх платформ FIFA, що створює єдину точку входу для потенційних атак.
Дослідниця детально описала процес експлуатації вразливості, який полягав у простій реєстрації на порталі agents.fifa.org з використанням власного посвідчення особи. Після цього, через недолік в API FIFA, який не здійснював належної перевірки дозволів користувача, BobDaHacker отримала доступ до внутрішніх систем. Особливу тривогу викликає той факт, що серед доступних платформ була система, що дозволяє мовникам контролювати контент, який відображається на телевізійних екранах глядачів по всьому світу, а також зображення на екранах коментаторів. Це означає, що зловмисник міг не тільки переглядати, але й повноцінно керувати трансляціями, включно з можливістю їх припинення.
“Панель керування прямими трансляціями для Чемпіонату світу з футболу 2026”
BobDaHacker наголосила, що це були не тестові дані, а справжня “панель керування прямими трансляціями для Чемпіонату світу з футболу 2026”, що охоплювала кожен матч, кожен ракурс камери, кожну URL-адресу для RTMP-запису та кожен ключ трансляції. Це свідчить про надзвичайно високий рівень доступу, який був наданий завдяки виявленій вразливості.
“Це не було якесь середовище розробки. Це не були тестові дані. Це була панель керування прямими трансляціями для Чемпіонату світу з футболу 2026. Кожен матч. Кожен ракурс камери. Кожна URL-адреса для RTMP-запису. Кожен ключ трансляції”, – пише BobDaHacker.
Реакція FIFA та подальші кроки
BobDaHacker повідомила FIFA про виявлений недолік 16 квітня. Організація оперативно виправила проблему протягом кількох годин. Однак, дослідниця висловила своє розчарування відсутністю будь-якої реакції з боку FIFA після усунення вразливості. За її словами, FIFA “так і не відреагувала. Не підтвердила повідомлення. Не подякувала. Не обговорювала компенсацію. Нічого”. Така байдужість з боку великої міжнародної організації може свідчити про системні проблеми у процесах реагування на кіберзагрози.
- Виявлена вразливість: Неналежна перевірка дозволів користувача в API FIFA.
- Потенційні наслідки: Несанкціонований доступ до внутрішніх платформ, контроль над трансляціями Чемпіонату світу.
- Час виправлення: Кілька годин після повідомлення.
- Реакція FIFA: Відсутність підтвердження, подяки чи обговорення компенсації.
Цей інцидент підкреслює необхідність постійного вдосконалення систем кібербезпеки, особливо для організацій, що обробляють великі обсяги конфіденційної інформації та забезпечують глобальні трансляції.
