Einstieg über das Spieleragenten-Portal
Die Sicherheitsforscherin, die unter dem Pseudonym BobDaHacker auftritt, registrierte sich als Spieleragentin auf FIFAs offizieller Agenten-Registrierungsplattform. Laut iTnews entdeckte sie die Lücke beim Durchsuchen von FIFAs Subdomains. Das genügte für vollständigen Zugang zum internen Broadcast-System – ermöglicht durch eine fehlende Autorisierungsprüfung in FIFAs Backend-API.
Voller Zugriff auf TV-Sendebetrieb aller Spiele
Die Schwachstelle öffnete das TV-Broadcast-Stream-Steuerungssystem sämtlicher WM-Partien sowie das Informationssystem der Kommentatoren. Laut iTnews nutzt FIFA Microsoft Entra als Identity-and-Access-Management-System; die Registrierung als Spieleragentin reichte aus, um das Konto automatisch in den Entra-Tenant aufzunehmen. Über die Plattform war laut iTnews zudem Schreibzugriff auf Live-Match-Statistiken, Anstoßzeiten und taktische Aufstellungsdaten verfügbar.
BobDaHacker fasst das Schadenspotenzial prägnant zusammen: „A single attacker could hijack every camera simultaneously.
Quellen: TechCrunch · SC Media (scworld.com) · iTnews (itnews.com.au) · IT Boltwise (it-boltwise.de) · Crypto Briefing (cryptobriefing.com) Dieser Artikel wurde KI-gestützt aus mehreren unabhängigen Quellen erstellt und automatisiert faktengeprüft.