En säkerhetsexpert hävdar att en enkel sårbarhet hos FIFA gav tillgång till interna system som används för att producera och distribuera TV-sändningar under fotbolls-VM. Enligt experten kunde samma fel ha använts för att påverka vad tittare och kommentatorer såg i realtid.
Sårbarheten upptäcktes av säkerhetsforskaren som använder namnet BobDaHacker. Enligt hennes redogörelse började allt med att hon registrerade sig som spelaragent via FIFA:s officiella agentplattform. Det kontot blev sedan en väg in till flera interna FIFA-system tack vare en brist i organisationens backend-API.
Enligt TechCrunch saknade API:t tillräckliga kontroller för att verifiera om användaren faktiskt hade rätt behörighet innan känslig information och funktioner exponerades.
Ett klassiskt säkerhetsfel med ovanligt stora konsekvenser
Problemet inte verkar ha handlat om avancerad hackning. Istället pekar uppgifterna på ett klassiskt så kallat ”Broken Access Control”-fel, en kategori som återkommande hamnar högst på säkerhetsorganisationen OWASP:s lista över de vanligaste och mest kritiska webbapplikationssårbarheterna.
I praktiken innebär det att ett system litar på att användaren har rätt behörighet utan att faktiskt kontrollera det ordentligt. Resultatet kan bli att en vanlig användare får tillgång till funktioner som egentligen är reserverade för administratörer eller interna medarbetare.
Enligt experten ledde detta till åtkomst till system som används av tv-bolag för att styra grafik, kameraflöden och annan information som visas under matcher.
Enligt OWASP är just bristande behörighetskontroller en av de vanligaste orsakerna bakom stora dataintrång och systemkomprometteringar världen över.
Läs även: Därför godkändes Sveriges mål – tekniken avgjorde
Påstod sig kunna styra VM:s kameraflöden
I sitt blogginlägg beskriver BobDaHacker hur hon kunde nå plattformar som används av både tv-producenter och kommentatorer under VM-matcher.
Hon hävdar att en angripare teoretiskt hade kunnat påverka flera kameraflöden samtidigt eller manipulera innehållet som visas för produktionsteam och sändningspersonal.
Det finns inga uppgifter om att sårbarheten faktiskt utnyttjades av någon illvillig aktör. Hittills verkar upptäckten ha skett inom ramen för säkerhetsforskning.
Det som gör scenariot särskilt allvarligt är att moderna sportevenemang är starkt beroende av centraliserade digitala produktionssystem. Allt från repriser och grafik till statistik, kameraväxlingar och informationsflöden hanteras idag via sammankopplade plattformar.
Läs även: Så har tekniken förändrat fotbollen – från mållinjeteknik till AI
FIFA stängde luckan inom några timmar
Enligt experten rapporterades problemet till FIFA under tisdagen. Bara några timmar senare ska organisationen ha åtgärdat sårbarheten.
TechCrunch uppger samtidigt att FIFA inte bekräftade rapporten eller kommenterade upptäckten innan felet korrigerades.
Händelsen illustrerar hur även världens största sportorganisationer kan drabbas av förvånansvärt grundläggande säkerhetsproblem. Samtidigt visar den hur mycket av dagens sportupplevelse som i praktiken bygger på mjukvara, API:er och molnbaserad infrastruktur.
När miljarder människor följer ett världsmästerskap är det lätt att fokusera på spelarna på planen. Den här gången är det snarare koden bakom kulisserna som hamnat i centrum.