בעולם שבו אירועי ספורט בינלאומיים הפכו למכונות תוכן משומנות, חשיפה של חוקר האבטחה המכונה "Bob the Hacker" מטלטלת את יסודות אבטחת המידע של התאחדות הכדורגל הבינלאומית. בלב האירוע עומד כשל תכנוני בסיסי שחשף את תשתיות השידור הרגישות ביותר של גביע העולם 2026, והפך כל אדם בעל גישה לאינטרנט לאיום פוטנציאלי על חוויית הצפייה של מיליארדי בני אדם.
2+על פי הפרסום של ההאקר בבלוג שלו במהלך הימים האחרונים, הפרצה התגלתה בפורטל סוכני השחקנים הרשמי של פיפ"א. כל אדם יכול היה להירשם לשירות עם תעודה מזהה רגילה, מה שהעניק לו אוטומטית הרשאות בתוך סביבת הענן הארגונית שם. בזמן שממשקי המשתמש הרגילים הציגו שהגישה נדחתה, שרתי ה-API האחוריים לא ביצעו בדיקת הרשאות והעניקו גישה מלאה ללוח הבקרה של ההפקה.
שליטה מוחלטת במצלמות
הממצאים מפחידים בהיקפם, שכן מדובר בגישה ישירה למערכת הניהול שולטת בכל מצלמה, זווית צילום ושידור חי מהאצטדיונים. החוקר היה יכול באופן תיאורטי, להחליף את שידור המשחק הרשמי בכל תוכן אחר: החל מסרטוני גיימינג ועד לתכנים פוגעניים, היישר למסכי הטלוויזיה של רשתות השידור הגלובליות. מעבר לשליטה בשידור, התגלתה חולשה שאפשרה גישה למערכות סטטיסטיקה בזמן אמת והערות שדרנים פנימיות.
2+הכשל הזה חמור במיוחד עבור תעשיית ההימורים. סוכנים בלתי מורשים היו יכולים לנצל את הגישה למידע הפנימי ולנתונים המהירים כדי לגרוף הון עתק על חשבון הציבור. הפער בין היכולת הטכנולוגית להעביר שידור באיכות 8K לכל פינה בעולם, לבין היכולת להגן על הדלת הקדמית של הארגון, נותר תהומי ומעורר שאלות קשות על המקצוענות של פיפ"א בתחום הסייבר.
המבוכה של פיפ"א
בעוד חברות טכנולוגיה גדולות משקיעות מיליארדי דולרים באיתור פרצות, פיפ"א לא מחזיקה אפילו במדיניות דיווח אבטחה בסיסית. הדבר אילץ את החוקר לנהל מסע טלפוני לילי מתיש מול רשויות אכיפת חוק בינלאומיות וסוכנויות ביון כדי שמישהו יתייחס לדיווח שלו. מצב זה מזכיר את הפריצות שחוותה הטלוויזיה האיראנית לאחרונה, שם חולשות בתשתית הדיגיטלית הסתיימו בקטסטרופה תדמיתית ותפעולית.
2+מאז המעבר של תעשיית הטלוויזיה לרשתות IP, אבטחת שרשרת ההפצה הפכה לקריטית. הפיכת התשתית הפיזית לנתוני תוכנה מייצרת "משטח תקיפה" רחב, שבו רשלנות בתכנון הרשאות עלולה להיות הרסנית. בעוד שפיפ"א אכן סגרה את הפרצה לאחר פניות החוקר, השתיקה הארגונית מעידה על דרך ארוכה שעל מוסדות הספורט לעבור כדי להבטיח את ביטחון המידע של מיליארדי האוהדים.
