Баг во внутренней системе FIFA позволял любому изменить телетрансляцию матча
Исследовательница безопасности заявила, что смогла получить доступ к нескольким внутренним платформам FIFA из-за простой уязвимости. По её словам, ошибка позволяла смотреть и полностью контролировать телевизионный поток каждого матча чемпионата мира.
Исследовательница, известная под псевдонимом BobDaHacker, рассказала, что сначала просто зарегистрировалась как футбольный агент на официальной платформе FIFA для регистрации агентов. Затем, используя эту учётную запись и уязвимость в серверном API FIFA, который не проверял, есть ли у пользователя необходимые права доступа, она смогла попасть в несколько внутренних систем организации.
Среди них была система, позволяющая вещателям управлять тем, что отображается на экранах зрителей по всему миру, а также тем, что показывается на экранах комментаторов во время матча.
«Один злоумышленник мог одновременно захватить все камеры. Атакующий мог бы зарикроллить весь чемпионат мира FIFA», — написала BobDaHacker в своём блоге во вторник.
BobDaHacker сообщила об уязвимости во вторник вечером по японскому времени. FIFA исправила проблему спустя несколько часов, но, по словам исследовательницы, никак не подтвердила получение её отчёта.
FIFA не сразу ответила на запрос TechCrunch о комментарии.
Почему это важно
Эта история показывает, насколько опасными могут быть ошибки авторизации во внутренних API. Даже если система выглядит закрытой и предназначена только для сотрудников или партнёров, один неправильно настроенный доступ может открыть путь к критически важной инфраструктуре.
В случае FIFA речь шла не просто о просмотре внутренних данных, а о потенциальном контроле над телевизионной картинкой глобального спортивного события. Для атакующего это могло бы стать способом сорвать трансляцию, подменить изображение или показать несанкционированный контент миллионам зрителей.
Главный урок здесь простой: API должны проверять не только факт входа пользователя в систему, но и его конкретные права на каждое действие. Иначе обычная регистрация в одном сервисе может неожиданно стать пропуском во внутренние инструменты всей организации.