Во внутренних системах FIFA обнаружили опасную уязвимость, которая позволяла получить контроль над телевизионными трансляциями матчей Чемпионата мира по футболу. О проблеме рассказала исследовательница информационной безопасности под псевдонимом BobDaHacker. Подробности инцидента опубликовало издание TechCrunch.
По словам исследовательницы, ошибка существовала как минимум несколько недель и затрагивала внутреннюю инфраструктуру организации. Для получения доступа не требовались сложные методы взлома — причиной стала ошибка конфигурации и отсутствие должной проверки прав доступа в одном из бэкенд-API.
Как утверждает BobDaHacker, она зарегистрировалась на официальной платформе FIFA в качестве агента игрока. После этого исследовательница обнаружила возможность обхода механизмов разграничения доступа. Используя учетную запись агента, она смогла попасть во внутренние инструменты организации, которые не предназначались для внешних пользователей.
Наиболее тревожной находкой оказался доступ к системе управления видеопотоками в режиме реального времени. Через нее можно было вмешиваться в телевизионную трансляцию матчей, переключать ракурсы камер, добавлять рекламные вставки и даже прерывать прямой эфир.
«Один злоумышленник мог бы одновременно захватить все камеры и взломать весь Чемпионат мира по футболу», — заявила BobDaHacker.
По оценке исследовательницы, потенциальные последствия такой ошибки могли оказаться крайне серьезными, особенно с учетом масштабов мирового футбольного первенства и многомиллионной аудитории телетрансляций.
BobDaHacker сообщила о найденной уязвимости FIFA во вторник вечером. По ее словам, представители организации устранили проблему спустя несколько часов после получения уведомления. При этом публичных заявлений о случившемся FIFA не делала.
TechCrunch отмечает, что причиной инцидента стала недостаточная проверка полномочий пользователей во внутренних сервисах. История стала очередным напоминанием о том, что даже крупные международные организации могут столкнуться с критическими ошибками безопасности, способными поставить под угрозу работу ключевых цифровых систем.
Источник: hi-tech.mail.ru