ИБ-исследовательница под ником BobDaHacker рассказала о баге в системе Чемпионата мира по футболу FIFA, который позволял контролировать телевизионную трансляцию каждого матча.
По данным TechCrunch, баг существовал во внутренних системах FIFA как минимум несколько недель. BobDaHacker подчеркнула, что не проводила сложных атак, а воспользовалась ошибкой конфигурации, позволявшей обойти контроль доступа.
По её словам, она просто зарегистрировалась как агент игрока на официальной платформе регистрации агентов FIFA. Затем, воспользовавшись ошибкой в бэкенд‑API, который не проверял права доступа пользователей, она через аккаунт агента смогла получить доступ к внутренним инструментам организации, включая интерфейс для управления видеопотоками в реальном времени. Платформа позволяла менять ракурсы камеры, вставлять рекламу или даже прерывать прямую трансляцию.
«Один злоумышленник мог бы одновременно захватить все камеры и взломать весь Чемпионат мира по футболу», — написала исследовательница.
BobDaHacker сообщила об уязвимости во вторник вечером. По её словам, FIFA исправила проблему через несколько часов, но не отреагировавала на предупреждение публично.
ссылка на оригинал статьи https://habr.com/ru/articles/1048644/