北京
一位網名為BobDaHacker的安全研究員披露,她僅憑一個簡單的后臺API授權缺陷,就成功進入了國際足聯(FIFA)多個內部平臺,獲得了對所有世界杯比賽電視直播畫面的“完全控制權”。
她表示,攻擊手法異常簡單:先在FIFA官方經紀人注冊平臺上注冊成為一名球員經紀人賬戶,隨后利用后臺API未核驗用戶實際權限的漏洞,直接訪問了多個內部系統。其中就包括允許轉播商控制全球觀眾電視畫面,以及解說員屏幕上實時顯示內容的系統。
“一名攻擊者就能同時劫持所有攝像機。甚至可以對著整個世界杯進行‘瑞克搖’(rickroll)惡搞,”BobDaHacker在周二發布的博客中寫道。她在日本時間周二晚間提交了漏洞報告,幾小時后FIFA就修復了問題,但始終未對研究人員的報告作出回應。FIFA也尚未回應TechCrunch的置評請求。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
