BobDaHacker nennt sich die IT-Sicherheitsforscherin, die behauptet, sie habe Zugang zu einigen internen FIFA-Plattformen aufgrund einfacher Fehler im Sicherheitskonzept erlangen können. Damit wäre es möglich gewesen, das Live-Streaming der Spiele zu manipulieren – etwa mit einer Rickroll. Inzwischen hat die FIFA die Schwachstellen ausgebessert.
In einem Blog-Beitrag schreibt BobDaHacker, wie der Zugriff möglich wurde. Eine Anmeldung auf der FIFA-Beraterseite (FIFA Agent Platform) war ganz einfach mit einem Ausweis und dem Bestätigen einer E-Mail-Adresse möglich. Die Anmeldung legt das Konto im Microsoft-Entra-Tenant der FIFA an. Darüber laufen offenbar alle internen FIFA-Plattformen. Ein erster Versuch des Zugriffs auf die FIFA-Football-Daten-Plattform fdp.fifa.org schien eine Prüfung vorzunehmen und wies BobDaHacker mangels entsprechender Rolle ab. Allerdings handelte es sich um eine clientseitige Prüfung. Die Backend-API auf den Servern hingegen nimmt keinerlei Prüfung vor.
Die clientseitigen Abfragen lassen sich umgehen, und so war der Zugriff auf das Streaming-Management-Panel möglich – das echte Live-System, mit allen RTMP-URLs, Streaming-Keys und Ausgabe-URLs. Da landen die Streams aus den Stadion-Kameras, was eine Prüfung der URLs mit VLC bestätigte. Das Portal wies Schaltflächen auf, mit denen die Streams sich stoppen und starten lassen. Bösartige Angreifer hätten damit die Kamera-Streams umleiten und durch eigene Inhalte ersetzen können.
Der Zugriff war den Angaben BobDaHackers zufolge auf die komplette Plattform möglich, nicht nur auf das Streaming-Management. Teams, Tools, Exchange, Admin – alles zugreifbar. Es wäre auch möglich gewesen, die redaktionellen Kommentatoren-Notizen zu manipulieren, den Anstoß-Zeitpunkt zu ändern und die Punkte- und Spielstatistiken zu manipulieren. Die Meldung der Schwachstelle war etwas schwieriger, nach zehn Anläufen bekam BobDaHacker demnach jedoch Antwort von der US-amerikanischen IT-Sicherheitsbehörde CISA und dem FBI.
In der Nacht wurde die Lücke dann stillschweigend geschlossen, nun liefern auch die Server HTTP-403-Antworten auf Anfragen mit dem Konto mit „NO_ROLES“. Die FIFA hat sich jedoch nicht dazu gemeldet. BobDaHacker verpasst der FIFA aber noch virtuelle Ohrfeigen: Sie solle eine security.txt bereitstellen, es sei schließlich 2026. Clientseitige Autorisierung ist keine Autorisierung, das lerne bereits jeder Praktikant. Außerdem solle die FIFA ein Bug-Bounty-Programm starten, damit IT-Sicherheitsforscher nicht das FBI anrufen müssen, um der FIFA einen Gefallen zu tun. Die kommen inzwischen jedoch häufiger ohne Geldprämien daher.
(dmk)
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。