报道指出,一名网名为“BobDaHacker”的安全研究人员利用国际足联(FIFA)官办经纪人注册平台与后端API的校验漏洞,注册为球员经纪人后获得多个内部系统权限,进而能够访问并完全控制世界杯赛事的全球直播画面与解说端显示内容。研究人员称可同时劫持所有赛事实时画面并替换为任意视频,已在周二向FIFA上报该漏洞,FIFA数小时内修复但未对上报者作出回应。
6 月 17 日消息,据 Techcrunch 报道,一名安全研究人员在一篇博客文章中表示,她借助一个简单的安全漏洞成功入侵国际足联(FIFA)多个内部平台,借此观看并完全控制每一场世界杯比赛的电视直播流。
IT之家注意到,这位网名为“BobDaHacker”的研究人员称,她仅需在国际足联官方经纪人注册平台上注册为一名球员经纪人。凭借该账号,再加上国际足联后端应用程序接口(API)存在一处校验漏洞 —— 系统不会核实使用者是否具备对应访问权限,她由此得以登入多个国际足联内部系统。
据该研究人员介绍,其中一套系统专供全球转播方使用,既能控制世界各地观众电视端的播出画面,也能调整赛事解说员解说时面前屏幕显示的内容。
“单一攻击者就能同时劫持全部赛事摄像画面,甚至能给整届世界杯的直播播放瑞克摇摆恶搞视频。”BobDaHacker 在周二发布的一篇博客文章中写道。
日本时间周二晚间,BobDaHacker 向国际足联上报了该漏洞;几小时后国际足联便修复了该安全隐患,但始终未对这名研究员的漏洞上报行为作出任何回应。