კიბერუსაფრთხოების მკვლევარმა აღმოაჩინა, რომ FIFA-ს ოფიციალური პლატფორმა, რომელიც ფეხბურთის აგენტებისთვის არის განკუთვნილი, ფაქტობრივად, ორგანიზაციის შიდა ქსელის კარს ხსნიდა. უბრალო რეგისტრაციის გავლით, მომხმარებელს წვდომა ეხსნებოდა FIFA-ს ისეთ სისტემებზე, რომლებიც მსოფლიო ჩემპიონატის მართვას უზრუნველყოფს.
მკვლევარის თქმით, რეგისტრაციის პროცესი იმდენად მარტივი იყო, რომ საკმარისი გახდა პირადობის მოწმობის ატვირთვა და ელექტრონული ფოსტის დადასტურება. ამის შემდეგ, FIFA-ს სისტემა ავტომატურად ამატებდა მას Microsoft Entra-ს საერთო ქსელში.
თავდაპირველად, პლატფორმაზე შესვლისას მომხმარებელს „წვდომა უარყოფილია“ შეტყობინება ხვდებოდა. თუმცა, აღმოჩნდა, რომ ეს მხოლოდ ე.წ. „კლიენტის მხარეს“ (client-side) არსებული შეზღუდვა იყო. რეალურად, სერვერული ნაწილი არანაირ შემოწმებას არ ატარებდა და ნებისმიერ მოთხოვნას ასრულებდა.
პლატფორმაზე შესვლის შემდეგ, მკვლევარმა აღმოაჩინა „სტრიმინგის მართვის პანელი“. იქ წარმოდგენილი იყო 2026 წლის მსოფლიო ჩემპიონატის თითოეული მატჩის მონაცემები, მათ შორის კამერების ხედები, RTMP მისამართები და სტრიმინგის გასაღებები.
სისტემაში წვდომა იმდენად ღია იყო, რომ შესაძლებელი გახდა მატჩის პირდაპირი ტრანსლაციის სიგნალის ჩანაცვლება. ერთი კლიკით თავდამსხმელს შეეძლო ეთერი გაეთიშა ან ნებისმიერი სხვა ვიდეო მასალა გაეშვა პირდაპირ ეთერში.
მკვლევარმა საკუთარი თვალით დაადასტურა, რომ VLC ფლეიერით მატჩის პირდაპირი რეპორტაჟის ყურება უპრობლემოდ შეეძლო. ეს არ იყო სატესტო გარემო, არამედ რეალური, მიმდინარე მსოფლიო ჩემპიონატის ინფრასტრუქტურა.
| When | What |
|---|---|
| Night | Found the Streaming Management panel. Jaw hits floor. |
| Night | Opened preview manifest in VLC. Confirmed live. Closed immediately. |
| Night | Sent disclosure email to 10+ FIFA addresses. 5 bounced. |
| Night | WhatsApped Sebastian Runge. |
| Night | Called FIFA Zurich. Closed. Called FIFA Media line. Closed. |
| Night | Called Dallas Convention Center. Voicemail. |
| Night | Called MediaKind. Someone answered. Sent full report with stream keys. |
| Night | Called HBS. They hung up. Called back. No answer. |
| Night | Called CISA 24/7 line. They listened. Sent report. |
| Night | Messaged FBI contacts on Signal. They responded. |
| Next day | Vulnerability fixed. No response from FIFA. |
გარდა ამისა, სისტემა იძლეოდა მატჩის სტატისტიკის, კომენტატორებისთვის განკუთვნილი ინფორმაციისა და ტაქტიკური მონაცემების რედაქტირების საშუალებასაც. ეს ნიშნავს, რომ თავდამსხმელს შეეძლო პირდაპირ ეთერში მცდარი ინფორმაციის გაშვებაც კი.
მკვლევარმა აღნიშნა, რომ FIFA-ს არ გააჩნია საჯარო უსაფრთხოების კონტაქტი ან „bug bounty“ პროგრამა. მას მოუწია FBI-ს, CISA-ს და უშუალოდ FIFA-ს ტექნიკური პარტნიორების ჩართვა, რათა ინფორმაცია ადრესატამდე მიეტანა.
საბოლოო ჯამში, ხარვეზი გამოსწორდა, თუმცა FIFA-ს მხრიდან არანაირი ოფიციალური კომენტარი ან მადლობა არ გაჟღერებულა. მკვლევარი აღნიშნავს, რომ მსგავსი მასშტაბის ორგანიზაციისთვის მსგავსი ტიპის სისტემური შეცდომები დაუშვებელია.
დისკუსია
0 კომენტარი
ჯერ კომენტარი არ არის — იყავი პირველი.