Cu un singur e-mail, un hacker a obținut acces la transmisiunea în direct a Cupei Mondiale. Ce putea face?

Transmisiunile celui mai mare eveniment sportiv din lume ar trebui să aibă un nivel de securitate de top. Mai ales având în vedere cât de mult oficialii fotbalului urăsc pirateria, până la punctul în care blochează accesul la internet pentru oameni nevinovați. 

Un hacker pe nume bobdahacker a trebuit să-și creeze un singur cont pentru a obține controlul complet asupra platformei de transmisiuni a Cupei Mondiale FIFA 2026.

Vorbim despre acces de nivel superior la toate stream-urile și parolele ei. Posibilitatea de a opri transmisiunea live sau de a o înlocui cu un rickroll: meme-ul din videoclipul muzical al lui Rick Astley, așa cum glumește chiar el.

Cu un singur e-mail, un hacker a obținut acces la transmisiunea în direct a Cupei Mondiale. Ce putea face?

Conform blogului lui bobdahacker, FIFA are o platformă publică pentru înregistrarea ca agent de jucători. Tot ce trebuie să faci este să introduci informațiile personale, numărul de identificare și o adresă de e-mail.

Folosind acest cont, a obținut acces la site-ul web al agenților de fotbal FIFA . De acolo, a încercat să acceseze platforma de date a FIFA, pe care agenții o pot folosi pentru a accesa date publice despre echipe, jucători etc.

Platforma i-a refuzat accesul, informând-o că nu avea niciun rol atribuit. Cu alte cuvinte, contul ei nu fusese încă recunoscut de sistem. Acest lucru avea sens; tocmai se înregistrase și identitatea ei nu i-a fost verificată.

Cu control complet asupra tuturor celor cinci camere din fiecare stadion, a datelor văzute de comentatori și chiar opțiunea de a schimba mesajele transmise în timpul meciurilor. Povestea este suprarealistă, dar este perfect documentată.

Adevăratul șoc a venit când, în calitate de hacker, și-a dat seama că toate acestea se întâmplau pe partea clientului. Aplicația verifica dacă JWT (pass-ul de acces) conținea steagul NO_ROLES și afișa pagina cu acces refuzat. Și API-urile backend? Nu verificau nimic. Pur și simplu deserveau orice era solicitat.

Pur și simplu a trebuit să ocolească aceste controale din partea clientului, ceva foarte ușor pentru un hacker, și a obținut acces complet la panoul de gestionare a streamingului Cupei Mondiale. „Am rămas fără cuvinte”, spune bobdahacker.

De pe această platformă, am putut accesa toate transmisiunile live și înregistrate ale fiecărui meci. Fiecare unghi al camerei. Fiecare buton de streaming. Chiar și butonul care îți permite să oprești transmisiunea live și să lași sute de milioane de oameni cu ecran negru, așa cum se vede în această captură de ecran:

Putea chiar să urmărească un meci pe PC-ul său folosind playerul VLC. Întrucât cheia de streaming se afla chiar în URL-ul respectiv, putea schimba conținutul în orice videoclip sau mesaj, iar asta ar fi văzut live sute de milioane de oameni.

Accesul deplin la ecranele comentatorilor i-a permis să facă lucruri precum modificarea notelor de comentarii editoriale și publicarea lor pe sistemele de transmisie, să avanseze sau să întârzie fluierul arbitrului pentru începerea meciului sau să schimbe formațiile, rezultatele și statisticile pe care comentatorii le folosesc în transmisiunile în direct.

Desigur, nu a atins nimic, pentru că asta ar putea constitui o infracțiune gravă. A încercat să contacteze departamentele juridice și tehnologice ale FIFA prin e-mail și telefon . Nimeni nu i-a răspuns. În cele din urmă, a contactat FBI-ul , care i-a spus că vor investiga situația.

A doua zi dimineață, vulnerabilitatea a fost remediată. Nu a primit niciun apel de la FIFA. Nu, mulțumesc. Cu atât mai puțin, o recompensă. Aproape întotdeauna se întâmplă asta. Dacă atacul cibernetic asupra transmisiunilor Cupei Mondiale din 2026 ar fi fost efectuat de un infractor cibernetic, pagubele ar fi putut fi extrem de grave, scrie computerhoy.