Dok se u SAD-u, Kanadi i Meksiku održava najveće Svjetsko prvenstvo u istoriji fudbala, FIFA se suočava sa ozbiljnim pitanjima o bezbjednosti svoje digitalne infrastrukture nakon što je etička hakerka otkrila kritičnu ranjivost koja je potencijalno mogla da ugrozi TV prenose utakmica širom svijeta.
Istraživačica sajber-bezbjednosti poznata pod nadimkom BobDaHacker objavila je detaljan izvještaj u kojem tvrdi da je uspjela da dobije pristup internim FIFA platformama, uključujući sisteme za upravljanje video-prenosima, podatke o utakmicama u realnom vremenu i alate koje koriste televizijski komentatori.
Kako je došlo do propusta?
Prema navodima istraživačice, sve je počelo registracijom na javno dostupnoj FIFA platformi za fudbalske agente. Nakon uspješne registracije, njen nalog je automatski dodat u FIFA-in Microsoft Entra sistem za upravljanje identitetima i pristupom.
Problem je nastao zbog ozbiljnog propusta u autorizaciji. Iako su pojedine aplikacije prikazivale poruku da korisnik nema potrebna ovlašćenja, pozadinski serveri navodno nisu provjeravali korisničke privilegije. Drugim riječima, sistem je vjerovao svakom autentifikovanom korisniku bez dodatne provjere prava pristupa.
Stručnjaci ovaj tip greške nazivaju „broken access control“ ili neispravna kontrola pristupa – ranjivost koja se već godinama nalazi među najopasnijim bezbjednosnim propustima prema OWASP standardima.
Pristup kamerama i strimovima utakmica
Najzabrinjavajući dio otkrića odnosi se na platformu za upravljanje prenosima utakmica Svjetskog prvenstva. Prema objavljenim snimcima ekrana, istraživačica je mogla da vidi:
- RTMP ključeve za video-prenose;
- URL adrese za emitovanje uživo;
- više kamera sa stadiona;
- kontrole za pokretanje i zaustavljanje prenosa;
- podatke o svim utakmicama Mundijala.
BobDaHacker tvrdi da teoretski nije bilo nemoguće da napadač preuzme kontrolu nad određenim video-signalima ili čak zamijeni sadržaj koji se emituje ka televizijskim partnerima.
Ipak, nema dokaza da je istraživačica izvršila bilo kakve izmjene ili narušila rad sistema. Naprotiv, naglašava da je odmah prekinula testiranje čim je potvrdila pristup osjetljivim podacima.
Moglo je doći i do izmjene rezultata
Osim sistema za emitovanje, istraživačica je navela da je imala pristup platformama za statistiku utakmica i alatima koje koriste komentatori tokom direktnih prenosa.
Prema njenim tvrdnjama, pojedini sistemi omogućavali su izmjenu podataka o utakmicama u realnom vremenu, uključujući rezultate i statistiku koja se prikazuje komentatorima i televizijskim grafičkim sistemima.
Iako takve izmjene vjerovatno ne bi uticale na zvanični rezultat utakmice, mogle su izazvati ozbiljnu konfuziju tokom prenosa i narušiti integritet takmičenja.
FIFA reagovala tek nakon prijava
Jedan od problema na koji je ukazala istraživačica jeste činjenica da FIFA nema jasno definisan program za prijavu bezbjednosnih propusta (bug bounty) niti javno dostupan sigurnosni kontakt.
Nakon neuspješnih pokušaja da kontaktira FIFA-u putem elektronske pošte i telefona, BobDaHacker je obavijestila kompaniju MediaKind, koja obezbjeđuje tehnologiju za TV prenose, kao i američku Agenciju za sajber-bezbjednost (CISA) i FBI.
Prema njenim navodima, ranjivost je zakrpljena u roku od manje od 24 sata. Nakon izmjena, serveri sada vraćaju grešku „403 Forbidden“, čime se onemogućava pristup neovlašćenim korisnicima.
FIFA se do trenutka objavljivanja ovog teksta nije zvanično oglasila o incidentu niti potvrdila detalje slučaja.
Najveći Mundijal u istoriji – i najveća digitalna meta
Svjetsko prvenstvo 2026. godine najveće je u istoriji takmičenja. Na turniru učestvuje 48 reprezentacija, igra se 104 utakmice u tri države, a očekuje se više milijardi gledalaca širom svijeta.
Stručnjaci već mjesecima upozoravaju da će ovako veliki sportski događaj predstavljati izuzetno atraktivnu metu za sajber-kriminalce. Analize bezbjednosnih kompanija ukazuju na rast phishing kampanja, lažnih FIFA sajtova, DDoS napada i pokušaja kompromitovanja infrastrukture turnira.
Ovaj incident pokazuje da prijetnje ne dolaze samo spolja – ponekad najveći rizik predstavljaju osnovne greške u kontroli pristupa unutar samih sistema.
Lekcija za cijelu industriju
Slučaj FIFA-e još jednom potvrđuje staro pravilo sajber-bezbjednosti: autentifikacija nije isto što i autorizacija. Činjenica da je korisnik prijavljen u sistem ne znači da automatski treba da ima pristup osjetljivim resursima.
Iako je propust brzo otklonjen i nema dokaza da je iskorišćen u zlonamjerne svrhe, incident predstavlja ozbiljno upozorenje za organizatore velikih sportskih događaja u eri digitalizacije.
Jer kada je riječ o globalnim događajima koje prate milijarde ljudi, jedna jedina greška u kodu može imati posljedice širom svijeta.
Izvori: b92, Cybernews
