Súlyos hibát talált a FIFA rendszerében egy etikus hekker, bármire kicserélhette volna a hivatalos kameraképeket
Hajmeresztő mulasztásról számolt be a blogján egy Japánban élő etikus hekker kedden, aki a FIFA belső szervereinek egy hibáját kihasználva gyakorlatilag minden, a világbajnoksághoz kapcsolódó felülethez teljes hozzáférést tudott szerezni, és bármit meg is tudott volna változtatni – beleértve ebbe magukat a közvetítéseket is. A FIFA néhány óra alatt orvosolta a problémát, de csak azután, hogy a hekker az összes csatornán megpróbálta jelezni, mekkora a baj, és állítása szerint végül nem is kapott semmilyen reakciót a szervezettől – írja a Tech Crunch.
A poszt alapján a BobDaHacker nevű hekkernek nem is kellett különösebb erőfeszítéseket tennie, csak regisztrálnia kellett a FIFA ügynököknek létrehozott platformjára. Mint kiderült, ez volt a legnehezebb része a dolognak, mert kétszer is visszautasító emailt kapott azért, mert a regisztrációhoz szükséges képe nem volt elég világos. Harmadjára viszont sikerült a dolog, úgyhogy rögtön meg is próbált továbbmenni a FIFA adatos platformjára, ami elsőre visszadobta őt, mondván, nincsen hozzáférési jogosultsága az oldalhoz.
A hekker viszont hamar rájött, hogy az elutasítás csak kliensoldali, szóval ha ezt a nem túl stabil védelmet kijátssza, akkor a szerverről bármilyen adatot le tud kérni, és így is tett. Így aztán szó szerint mindent meg tudott nézni élesben úgy, ahogy azt a FIFA hivatalos közvetítéseit kezelők is látják: az összes meccshez tartozó statisztikát, szerkesztői megjegyzéseket, linkeket, sőt, még a közvetítésekhez tartozó kulcsokat is. Mindehhez pedig nemcsak hozzáfért, hanem szerkeszteni is tudta volna őket, vagyis beírhatott volna bármilyen őrültséget a kommentátoroknak, átírhatta volna a hivatalos kezdési időket, eredményeket és kezdőcsapatokat,
vagy kicserélhette volna az élő kamerák képét szó szerint bármi másra, például Subway Surfers játékmenetre, egy klasszikus rickrollra, vagy valami sokkal durvább dologra.
A hekker emellett a FIFA belsős anyagainak egy részéhez is hozzáfért. Mindezt természetesen rögtön meg is próbálta jelezni, de a FIFA hivatalos emailcímein nem járt sikerrel, és más csatornákon is hiába próbálta keresni a szervezetet, vagy annak vezetőit. Az első alkalom, amikor el is ért valakit, a FIFA közvetítési partnerénél, a MediaKindnál volt, itt a diszpécser azonnal meg is értette a helyzet súlyosságát, és azt kérte tőle, hogy küldje el a bizonyítékokat emailben. Emellett az amerikai vb kiberbiztonságáért felelős Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökséget (CISA), valamint több FBI-os kontaktját is sikerült elérnie.
Ennek végül lett is eredménye, a FIFA másnapra kijavította a hibát, a fiókjáról már sehogyan nem tudta elérni a platformot, de szerinte nem ideális, hogy egy etikus hekker ennyire nehezen tudjon elérni egy szervezetet. Ahogy az sem, hogy a FIFA, ami eleve komoly hibát vétett, nem válaszolt neki, és nem is kommunikált hivatalosan a történtekről. A Tech Crunch is megkereste a szövetséget az ügyben, választ ők sem kaptak tőlük.
