Die IT-Sicherheitsforscherin „Bobdahacker“ registrierte sich auf der FIFA-Plattform für Berater (Agent Platform) mit einem Ausweis und einer E-Mail-Adresse. Daraufhin wurde ihr ein Konto im Microsoft-Entra-Tenant der FIFA angelegt, über den alle internen Plattformen organisiert werden. Obwohl ihr Konto keine Berechtigungen hatte, prüfte das System diese nur clientseitig, nicht über die Backend-API – ein Anfängerfehler, wie die Hackerin anmerkt.
Dadurch erlangte sie Zugriff auf das Management der WM-Livestreams. Sie hätte die Live-Übertragungen stoppen oder eigene Videoinhalte an die Fernsehgeräte der Zuschauer weltweit senden können. Laut heise.de ist jedoch unklar, ob es sich bei den Streams aus den Stadionkameras tatsächlich um die Datenströme handelte, aus denen TV-Sender ihre Übertragungen erzeugen. Dennoch war der Zugriff auf Teams, Tools, Exchange und Admin möglich, sodass sie auch redaktionelle Notizen, Anstoßzeiten und Statistiken hätte manipulieren können.
„Bobdahacker“ konnte keinen direkten Kontakt zur FIFA-Zentrale oder zu den für die Übertragungen zuständigen Unternehmen herstellen. Erst die Kontaktaufnahme mit der US-Cybersecurity-Behörde CISA und dem FBI setzte eine Lösung in Gang. Die FIFA hat die Schwachstelle inzwischen geschlossen und die Agent Platform von agent.fifa.org auf eine .com-Domain umgezogen. Eine Rückmeldung oder ein Dankeschön gab es von der FIFA bisher nicht, wie die Hackerin kritisiert.
Quelle: t3n.de
