Stručnjakinja je otkrila ozbiljan propust u FIFA-inim internim platformama koji je omogućio pristup upravljanju prenosima utakmica i poverljivim podacima bez ikakvih provera ovlašćenja.
Dok traje do sada najveće Svetsko prvenstvo u fudbalu u SAD-u, Kanadi i Meksiku, svetska glavna fudbalska organizacija FIFA suočava se sa mogućim bezbednosnim problemima koji su otkriveni već u prvoj nedelji takmičenja. Istraživačica bezbednosti i etička hakerka, koja se predstavlja nadimkom BobDaHacker, otkrila je kritičnu ranjivost u digitalnoj infrastrukturi te organizacije.
Ulazak bez provere
Otkriveno je, naime, da se putem javno dostupnog portala za registraciju fudbalskih agenata može dobiti pristup FIFA-inom sistemu Microsoft Entra, koji objedinjuje niz njihovih internih platformi. Iako su interfejsi aplikacija prikazivali poruku o zabrani pristupa, pokazalo se da pozadinski sistemi nisu proveravali korisnička ovlašćenja, što je sa druge strane omogućilo neometan pristup veoma osetljivim podacima.
Ovim propustom bio je omogućen uvid u upravljačku tablu za striming svih utakmica Svetskog prvenstva, uključujući pristup linkovima za prenos uživo i mogućnost upravljanja kamerama. Uz to, bio je otvoren pristup platformi koja prikuplja podatke o fudbalskim utakmicama u realnom vremenu, sistemu za komentatore, kao i poverljivim internim dokumentima. Sistem je čak dozvoljavao bilo kome ko je prijavljen na taj način da menja podatke o utakmicama, što bi se direktno odrazilo na informacione sisteme koje koriste i televizijski komentatori tokom prenosa.
Propust brzo zakrpljen
Ceo proces “hakovanja”, odnosno ostvarivanja neovlašćenog pristupa kritičnim sistemima FIFA-e, dokumentovan je na blogu BobDaHackera. Uz opis procesa i dokaze za svoje tvrdnje, bela hakerka navodi i da je prijavljivanje ove ranjivosti bilo izuzetno otežano zbog nedostatka jasnih komunikacionih kanala FIFA-e za prijavu bezbednosnih propusta. Nakon bezuspešnog pokušaja kontaktiranja FIFA-e putem imejla i telefona, kontaktirani su kompanija MediaKind, zadužena za tehnologiju TV prenosa, kao i američka Agencija za sajber-bezbednost (CISA), a na kraju i FBI.
Nakon svih tih prijava, FIFA je već tokom sledećeg dana ispravila ranjivost onemogućivši neovlašćeni pristup pozadinskim sistemima. Uprkos brzoj reakciji, FIFA se nije oglasila o samom incidentu niti je zvanično odgovorila na prijavu problema.
Zaključak: Očigledno je da ni najveće organizacije nisu imune na bizarne sigurnosne propuste i da ovaj slučaj ukazuje na potrebu za uspostavljanjem zvaničnih sigurnosnih politika, programa za prijavu ranjivosti, kao i na unapređenje mehanizama za autorizaciju unutar organizacije – naročito kada se organizuje tako masovan događaj kao što je Svetsko prvenstvo.
BONUS VIDEO:
Komentari (0)