Fußball-WM: Offizielles Streamingportal der Fifa gehackt

Eine schon durch frühere Entdeckungen bekannte Sicherheitsforscherin, die sich BobDaHacker nennt, hat eine Lücke in einem Portal aufgedeckt, durch die sie offizielle Livestreams der Fifa Fußball-WM hätte manipulieren können. Wie die Forscherin in einem Blogbeitrag(öffnet im neuen Fenster) schildert, musste sie sich lediglich mit ihrem Ausweis bei einer Fifa-Agenten-Plattform registrieren und konnte danach tief in die Verwaltung der Streams eindringen.

Die besagte Agenten-Plattform ist unter der Domain agents.fifa.org gehostet. Der Zugang wird laut BobDaHacker über Microsoft Entra geregelt, und zwar über einen Tenant, den die Fifa für alle internen Plattformen verwendet. Die Forscherin stellte allerdings fest, dass die Prüfung der Zugriffsberechtigungen nur clientseitig erfolgte.

Als neu registrierte Nutzerin hatte BobDaHacker bei dem System keine zugewiesene Rolle ("NO_ROLES"). Dies wurde allerdings nur durch eine Logik im Frontend der im Browser laufenden Angular-App abgeglichen. "Die Backend-APIs? Die haben gar nichts überprüft. Sie haben einfach alles bereitgestellt, was man angefordert hat", erklärt die Forscherin in ihrem Blog.

Damit habe sich der Code zur Rollenprüfung leicht umgehen lassen. BobDaHacker erhielt damit nach eigenen Angaben unter anderem Zugriff auf die Football Data Platform sowie das Streamingmanagement der Fifa und konnte Streaming-URLs einzelner Kameras in den Fußballstadien anzapfen, Stream-Keys auslesen und beispielsweise im VLC-Player einsehen, was durch die jeweiligen Kameras gerade zu sehen war.

Die Forscherin hätte die Streams nach eigenen Angaben auch anhalten oder während eines laufenden Fußballspiels manipulieren können, so dass unzählige Fernsehsender weltweit während einer Liveübertragung plötzlich unerwartete Inhalte ausgestrahlt hätten. Zudem hätte BobDaHacker wohl auch Spielpläne, Anstoßzeiten, Spielergebnisse und Notizen für Kommentatoren verändern können.

Weitaus schwieriger als das Aufspüren der Sicherheitslücke schien hingegen das Melden an die Fifa zu sein. BobDaHacker unternahm laut Blogbeitrag insgesamt zehn Versuche, den Fußballverband über unterschiedliche Kanäle zu kontaktieren und über die Lücke zu informieren. Schlussendlich bezog die Forscherin auch das FBI und die US-Cyberbehörde Cisa mit ein.

Am nächsten Tag war die Lücke dann geschlossen. Eine Antwort von der Fifa gab es wohl trotzdem nicht. Insgesamt zeigt sich BobDaHacker über die Reaktion wenig erfreut. "Wenn ein Forscher die Cisa und das FBI anrufen muss, um euch zu erreichen, läuft etwas schief", so die Forscherin. Zudem empfiehlt sie der F