ІТ-фахівчиня з кібербезпеки «Bobdahacker» зареєструвалася на платформі FIFA для консультантів (Agent Platform), використавши посвідчення особи та електронну пошту. Після цього їй створили обліковий запис у Microsoft-Entra-Tenant FIFA, через який організовані всі внутрішні платформи. Хоча її обліковий запис не мав жодних дозволів, система перевіряла їх лише на стороні клієнта, а не через серверний API — як зазначає хакерка, це елементарна помилка.
Таким чином вона отрималий доступ до управління прямими трансляціями чемпіонату світу. Вона могла зупинити прямі ефіри або надіслати власні відео на телевізори глядачів по всьому світу. За даними heise.de, однак незрозуміло, чи йшлося саме про ті відеопотоки зі стадіонних камер, з яких телеканали формують свої трансляції. Тим не менш, доступ до Teams, інструментів, Exchange та адмінпанелі дозволяв маніпулювати редакційними нотатками, часом початку матчів і статистикою.
«Bobdahacker» не змогла встановити прямий контакт ні зі штаб-квартирою FIFA, ні з компаніями, відповідальними за трансляції. Лише звернення до американського агентства з кібербезпеки CISA та ФБР запустило процес вирішення проблеми. FIFA вже закрила вразливість і перенесла Agent Platform з agent.fifa.org на домен .ком. Як критикує хакерка, жодної відповіді чи подяки від FIFA вона не отримала.
Джерело: t3n.de
