- El investigador “BobDahacker” encuentra una falla en la API de FIFA que permite a alguien secuestrar transmisiones de televisión en vivo y feeds de comentaristas
- Errores derivados de la falta de controles de autorización; La FIFA parcheó rápidamente pero no dio crédito a Finder
- Los expertos advierten que esto resalta los peligros de confundir autenticación con CWE-602 y autorización.
Un error en un sistema interno de FIFA permite a cualquiera modificar lo que se transmite a las emisoras de televisión y lo que se transmite a los comentaristas de televisión que describen los partidos de la Copa Mundial FIFA 2026. Afortunadamente para todos, el error fue descubierto por un hacker de sombrero blanco y lo solucionó antes de que actores malintencionados pudieran explotarlo.
Un investigador de seguridad, también conocido como BobHacker, informó recientemente que podía tomar control total sobre las transmisiones de televisión. Lo hicieron registrándose como agentes de jugadores en la plataforma oficial de registro de agentes de la FIFA y luego explotando una vulnerabilidad en la API back-end de la FIFA para acceder a múltiples plataformas internas.
La debilidad era que la API no verificaba que las cuentas tuvieran la autorización adecuada y, como resultado, podían controlar lo que la gente veía en sus televisores durante los partidos, así como lo que los comentaristas veían en sus monitores.
La autenticación no es autorización.
“Un solo atacante puede secuestrar todas las cámaras simultáneamente. Un atacante puede volver a grabar toda la Copa Mundial de la FIFA”, dijo Bobdahacker. También podríamos presenciar un momento de “Dark Knight Rises”.
Para Brett Winterford, vicepresidente de inteligencia de amenazas de Okta, la FIFA se salvó hoy de una gran bala: “La audiencia mundial promedio en vivo para un partido de la Copa Mundial de la FIFA es de 175 millones de espectadores. Imaginemos que alguien con mala motivación descubriera un error que le permitiera alterar esa transmisión en vivo”.
“Ese error ocurrió. Afortunadamente, un investigador de seguridad lo encontró primero”. Sin embargo, no todo el mundo parece apreciar eso. De acuerdo a TechCrunchLa FIFA emitió una solución pocas horas después de que BobDaHacker lo informara, pero no les dio crédito por su trabajo.
Winterford cree que el error es otro ejemplo de CWE-602: aplicación de la seguridad del lado del cliente a la del lado del servidor.
“Este es otro buen recordatorio para los desarrolladores: no traten la autenticación como autorización. La autenticación trata de verificar que un usuario es quien dice ser, la autorización trata de a qué puede acceder el usuario”.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
