- 27,625
- 46
- 8 Ноя 2022
Исследователь добивался реакции через подрядчиков, CISA и ФБР.
Специалист по безопасности под ником BobDaHacker заявил , что смог получить доступ к внутренним системам ФИФА во время чемпионата мира 2026 года через обычную регистрацию на платформе футбольных агентов.
История началась с сайта FIFA Agent Platform, где любой желающий может подать заявку на лицензию футбольного агента. Для регистрации требовалось загрузить документ, подтвердить почту и пройти проверку личности. После успешной попытки аккаунт автора оказался добавлен в общий каталог Microsoft Entra, который ФИФА использовала не только для агентской платформы, но и для внутренних сервисов.
Когда он перешёл на платформу футбольных данных ФИФА, система показала отказ в доступе, поскольку у аккаунта не было нужных ролей. Но проверка прав работала только в веб-приложении. Серверная часть не блокировала запросы и отдавала данные любому пользователю, который уже попал в общий каталог организации.
Обойдя клиентскую проверку, специалист оказался в панели управления трансляциями чемпионата мира. Там отображались матчи, ракурсы камер, адреса приёма видеопотока, ссылки для предпросмотра и выходные потоки для вещательных партнёров. По словам автора, доступ вёл к производственной инфраструктуре MediaKind, которую ФИФА использовала для обработки видеосигнала.
Ситуацию усугубляло то, что панель не ограничивалась просмотром. В интерфейсе были кнопки запуска, остановки и планирования потоков для матчей и отдельных камер. Автор утверждает, что не нажимал эти элементы и не отправлял видео на открытые адреса, но сами ключи потоков находились в доступных ему ссылках. Теоретически злоумышленник мог бы подменить сигнал с камер и вывести постороннее видео в цепочку вещания.
Открытым оказался не только раздел трансляций. Аккаунт без ролей получил доступ к платформе футбольных данных, системе информации для комментаторов, аналитическим панелям и разделам управления матчами. Внутри находились живые видеопотоки, данные о составах, статистика, редакционные заметки, сведения для комментаторов и элементы, связанные с публикацией данных для трансляций.
По словам BobDaHacker, отдельные функции позволяли менять статистику, время начала матча, тактические схемы и другие сведения, которые затем могли попасть в системы вещания. Система информации для комментаторов также показывала подготовленные факты, заметки и оперативные данные по матчам.
Кроме того, автор обнаружил тестовый интерфейс на базе Azure Functions, который выдавал метаданные и прямые ссылки на внутренние таблицы ФИФА в хранилище Azure Blob Storage. Среди файлов упоминались отчёты о трансферах, сравнении доходов, представлении руководящих органов, судьях и тренерах.
Сообщить о проблеме оказалось сложнее, чем найти саму уязвимость. У ФИФА, по словам автора, не было программы вознаграждений , файла security.txt и понятного контакта, чтобы сообщать о проблемах безопасности. Он отправил письма на несколько адресов организации, часть сообщений вернулась с ошибкой. Затем пытался связаться с сотрудником ФИФА, штаб-квартирой, медиа-линией, вещательным центром в Далласе, MediaKind, Host Broadcast Services, Агентством по кибербезопасности и защите инфраструктуры США и ФБР.
Прорыв произошёл после того, как он позвонил в MediaKind. Там, как утверждает автор, проблему поняли и попросили прислать подробности. Он также передал материалы в американское агентство по кибербезопасности. На следующий день доступ закрыли: серверы начали возвращать ошибку 403, а не просто показывать заглушку в интерфейсе.
ФИФА не ответила автору публично и, по его словам, не подтвердила, что получила отчёт. При этом организация быстро исправила главную проблему. Причиной сбоя стала базовая ошибка в архитектуре: приложения проверяли права только на стороне браузера, тогда как серверы доверяли любому пользователю из общего каталога Microsoft Entra.
BobDaHacker отдельно отметил, что после исправления его аккаунт всё ещё получал официальные документы платформы футбольных данных по электронной почте. Он призвал ФИФА опубликовать политику раскрытия уязвимостей и создать нормальный канал, чтобы сообщать о проблемах безопасности, – чтобы подобные инциденты не приходилось срочно передавать через подрядчиков и государственные ведомства.
Специалист по безопасности под ником BobDaHacker заявил , что смог получить доступ к внутренним системам ФИФА во время чемпионата мира 2026 года через обычную регистрацию на платформе футбольных агентов.
История началась с сайта FIFA Agent Platform, где любой желающий может подать заявку на лицензию футбольного агента. Для регистрации требовалось загрузить документ, подтвердить почту и пройти проверку личности. После успешной попытки аккаунт автора оказался добавлен в общий каталог Microsoft Entra, который ФИФА использовала не только для агентской платформы, но и для внутренних сервисов.
Когда он перешёл на платформу футбольных данных ФИФА, система показала отказ в доступе, поскольку у аккаунта не было нужных ролей. Но проверка прав работала только в веб-приложении. Серверная часть не блокировала запросы и отдавала данные любому пользователю, который уже попал в общий каталог организации.
Обойдя клиентскую проверку, специалист оказался в панели управления трансляциями чемпионата мира. Там отображались матчи, ракурсы камер, адреса приёма видеопотока, ссылки для предпросмотра и выходные потоки для вещательных партнёров. По словам автора, доступ вёл к производственной инфраструктуре MediaKind, которую ФИФА использовала для обработки видеосигнала.
Ситуацию усугубляло то, что панель не ограничивалась просмотром. В интерфейсе были кнопки запуска, остановки и планирования потоков для матчей и отдельных камер. Автор утверждает, что не нажимал эти элементы и не отправлял видео на открытые адреса, но сами ключи потоков находились в доступных ему ссылках. Теоретически злоумышленник мог бы подменить сигнал с камер и вывести постороннее видео в цепочку вещания.
Открытым оказался не только раздел трансляций. Аккаунт без ролей получил доступ к платформе футбольных данных, системе информации для комментаторов, аналитическим панелям и разделам управления матчами. Внутри находились живые видеопотоки, данные о составах, статистика, редакционные заметки, сведения для комментаторов и элементы, связанные с публикацией данных для трансляций.
По словам BobDaHacker, отдельные функции позволяли менять статистику, время начала матча, тактические схемы и другие сведения, которые затем могли попасть в системы вещания. Система информации для комментаторов также показывала подготовленные факты, заметки и оперативные данные по матчам.
Кроме того, автор обнаружил тестовый интерфейс на базе Azure Functions, который выдавал метаданные и прямые ссылки на внутренние таблицы ФИФА в хранилище Azure Blob Storage. Среди файлов упоминались отчёты о трансферах, сравнении доходов, представлении руководящих органов, судьях и тренерах.
Сообщить о проблеме оказалось сложнее, чем найти саму уязвимость. У ФИФА, по словам автора, не было программы вознаграждений , файла security.txt и понятного контакта, чтобы сообщать о проблемах безопасности. Он отправил письма на несколько адресов организации, часть сообщений вернулась с ошибкой. Затем пытался связаться с сотрудником ФИФА, штаб-квартирой, медиа-линией, вещательным центром в Далласе, MediaKind, Host Broadcast Services, Агентством по кибербезопасности и защите инфраструктуры США и ФБР.
Прорыв произошёл после того, как он позвонил в MediaKind. Там, как утверждает автор, проблему поняли и попросили прислать подробности. Он также передал материалы в американское агентство по кибербезопасности. На следующий день доступ закрыли: серверы начали возвращать ошибку 403, а не просто показывать заглушку в интерфейсе.
ФИФА не ответила автору публично и, по его словам, не подтвердила, что получила отчёт. При этом организация быстро исправила главную проблему. Причиной сбоя стала базовая ошибка в архитектуре: приложения проверяли права только на стороне браузера, тогда как серверы доверяли любому пользователю из общего каталога Microsoft Entra.
BobDaHacker отдельно отметил, что после исправления его аккаунт всё ещё получал официальные документы платформы футбольных данных по электронной почте. Он призвал ФИФА опубликовать политику раскрытия уязвимостей и создать нормальный канал, чтобы сообщать о проблемах безопасности, – чтобы подобные инциденты не приходилось срочно передавать через подрядчиков и государственные ведомства.
- Источник новости
- www.securitylab.ru
