Hanya dengan ID saya, saya bisa memutar Rickroll ke seluruh FIFA World Cup

 (bobdahacker.com)
1 poin oleh GN⁺ 4 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Dengan hanya mendaftar ke FIFA Agent Platform yang bersifat publik, seseorang bisa masuk ke tenant Microsoft Entra milik FIFA dan mengakses Football Data Platform untuk operasional 2026 FIFA World Cup hingga fungsi manajemen streaming siaran
  • Penyebabnya adalah pemeriksaan otorisasi di sisi klien: status JWT NO_ROLES hanya diperiksa oleh frontend, sementara API backend tidak mewajibkan peran
  • Panel Streaming Management yang terekspos memuat URL ingest RTMP, preview manifest, output URL, dan stream key untuk 5 feed kamera per pertandingan, dan feed preview live dapat diputar di VLC
  • Cakupan akses melampaui sekadar baca, mencakup sebagian operasi tulis seperti mulai/hentikan/jadwalkan stream, statistik live, waktu kickoff, skor, dan susunan taktik, serta membuka Commentator Information System dan Azure Function App untuk pengembangan
  • FIFA tidak merespons secara langsung, tetapi sehari setelah laporan server diperbaiki agar mengembalikan 403, dan peneliti meminta security.txt, kebijakan pengungkapan kerentanan, bug bounty, serta pemeriksaan otorisasi di sisi server

Pendaftaran Agent Platform publik berujung pada akses internal

  • FIFA Agent Platform adalah portal publik untuk pendaftaran lisensi agen sepak bola, dan pendaftaran bisa dilakukan dengan mengirimkan ID serta verifikasi email
  • Setelah pendaftaran selesai, akun ditambahkan ke tenant Microsoft Entra milik FIFA, dan tenant ini ternyata dipakai di berbagai platform internal FIFA
  • Peneliti sempat gagal dua kali karena masalah pencahayaan pada foto ID sebelum berhasil mendaftar pada percobaan ketiga
  • Setelah itu, saat mengakses fdp.fifa.org, Football Data Platform meloloskan autentikasi lalu menampilkan layar yang menyatakan tidak ada peran
    • Di layar muncul pesan penolakan akses bahwa akun tidak memiliki “FIFA Football Data Platform role”
    • Pemeriksaan sebenarnya hanya berhenti pada rendering sisi klien di aplikasi Angular, sementara API backend tetap mengembalikan data permintaan

Panel Streaming Management terekspos

  • Setelah pengaman sisi klien dilewati, panel Streaming Management operasional untuk FIFA World Cup 2026 dapat diakses
  • Panel tersebut menampilkan semua pertandingan dan sudut kamera, beserta URL ingest RTMP dan stream key
  • Setiap pertandingan memiliki 5 feed kamera
    • PGM
    • Tactical
    • Camera1
    • High Behind Left
    • High Behind Right
  • Setiap feed memuat informasi berikut
    • URL ingest RTMP tempat kamera mengirim video
    • Preview manifest untuk menonton feed
    • Output URL berupa HLS manifest yang dikirim ke mitra penyiaran
  • UUID di akhir URL ingest RTMP berfungsi sebagai stream key, dan satu key dibagikan di 5 sudut kamera untuk pertandingan yang sama
  • Infrastruktur streaming di-host oleh mitra teknologi streaming FIFA, MediaKind, dan merupakan endpoint operasional yang menerima feed kamera live dari stadion di Amerika Serikat, Meksiko, dan Kanada

Verifikasi feed live dan kemungkinan kontrol stream

  • Saat peneliti menyalin preview manifest ke VLC, feed kamera tactical live dari pertandingan yang sedang aktif diputar di PC di Tokyo
  • Feed langsung ditutup setelah diverifikasi, tetapi hal itu memastikan bahwa preview URL memang menyediakan video live saat pertandingan aktif
  • Panel Streaming Management tidak hanya menyediakan tampilan baca, tetapi juga fungsi kontrol seperti start, stop, schedule
  • Peneliti tidak menekan tombol kontrol apa pun, tetapi fungsi kontrol untuk semua pertandingan dan semua sudut kamera terlihat di panel
  • URL ingest RTMP merupakan jalur input dari kamera stadion menuju MediaKind dan mitra penyiaran
    • Alurnya adalah kamera → ingest RTMP → MediaKind → mitra penyiaran → TV
    • Jika penyerang mengirim video ke endpoint RTMP dengan stream key tersebut, feed kamera bisa diganti
    • PGM adalah output siaran utama, jadi jika feed ini diganti, video kiriman penyerang bisa tampil di jaringan TV yang menerima feed FIFA
  • Peneliti menegaskan bahwa ia tidak pernah mengirim video ke endpoint RTMP mana pun

Fitur lain Football Data Platform juga terekspos

  • Akun NO_ROLES dapat mengakses banyak area di Football Data Platform selain Streaming Management
    • Competitions
    • Matches
    • Teams
    • Tools
    • Exchange Platform
    • Analysis Dashboard
    • Commentator Information System
    • FIFA AI Pro
    • Admin
  • Dashboard pertandingan live memuat pemutar video bawaan, timeline event real-time, dan data ofisial pertandingan
  • Sebagai contoh, pertandingan Côte d'Ivoire vs Ecuador ditampilkan dalam status live, bersama timeline kartu kuning dan informasi match officials
  • Advanced Analytics mencakup live possession control, attempt creation breakdowns, ball recovery timing, distance covered, dan integrasi FIFA AI Pro

Operasi tulis manajemen pertandingan dan dampak pada data siaran

  • Tab Management di fdp.fifa.org memiliki operasi tulis, dan backend menerima permintaan dari akun NO_ROLES
  • Layar “Update Live Stats” memiliki rich text editor, field waktu pertandingan, field skor pertandingan, dan tombol Edit and Publish
  • Item manajemen yang dapat diakses adalah sebagai berikut
    • Attendance
    • Possession
    • Post Match Statistics
    • Team Registration Statistics
    • Analysis Finished
    • Score and Statistics
    • Adjust Kick-off Moment
    • Performance Data
    • Send Tactical Lineup
    • Event Ingress Details
  • Penyerang dapat melakukan hal-hal berikut
    • Mengubah dan memublikasikan editorial commentary notes yang dikirim ke sistem siaran
    • Menyesuaikan waktu kickoff resmi
    • Mengirim tactical lineup data
    • Mengubah skor dan statistik pertandingan
  • Data tersebut diringkas masuk ke Commentator Information System dan ditampilkan di siaran TV live

Akses ke Commentator Information System

  • cis.fifa.org juga dapat diakses dengan akun NO_ROLES
  • Sistem ini adalah dashboard real-time yang digunakan komentator siaran selama pertandingan live
  • Dashboard FIFA World Cup 2026 menampilkan skor live, pertandingan terjadwal, dan hasil
  • Tampilan pertandingan Côte d'Ivoire vs Ecuador pada menit ke-75 memuat tactical view, posisi pemain, formasi, statistik live, timeline pergantian pemain, dan data skuad
  • Dari akun tersebut juga dapat dilihat editorial note untuk komentator, pre-match stats kit, dan talking point

Azure Function App lingkungan pengembangan terekspos

  • Peneliti juga menemukan Azure Function App berbentuk xxxxxxxxx-spreadsheets-api.azurewebsites.net
  • API ini mengembalikan metadata dari 23 file internal FIFA serta URL unduhan langsung Azure Blob Storage
  • Responsnya mencakup nama file seperti 00_TransferCount_in_ENGLISH.xlsx, 0_pending_transfers_example.xlsx, dan Debbie.xlsx
  • Isi file disebut mencakup transfer reports, revenue comparisons, board-level representation data, serta referee and coach statistics
  • API ini juga tidak memiliki pemeriksaan peran

Upaya pelaporan dan jalur kontak

  • Peneliti menyatakan bahwa ia menemukan masalah ini saat World Cup sedang berlangsung, tetapi FIFA tidak memiliki program bug bounty, security.txt, atau kontak keamanan publik
  • Laporan lengkap dikirim ke beberapa alamat email FIFA dan email staf, tetapi 5 di antaranya memantul dan sisanya tidak merespons
  • Peneliti menemukan Sebastian Runge, Head of Football Technology & Data di FIFA, lewat LinkedIn dan menghubunginya via WhatsApp, tetapi tidak mendapat jawaban
  • Ia juga menelepon kantor pusat FIFA di Zurich dan media line FIFA, tetapi tutup karena Minggu malam di Zurich
  • Pusat International Broadcast Centre di Dallas, Kay Bailey Hutchison Convention Center, juga dihubungi tetapi hanya masuk ke voicemail
  • Nomor bebas pulsa MediaKind tersambung, dan pihak yang menerima langsung memahami masalah serta meminta detail via email termasuk stream key
  • HBS juga dihubungi lewat telepon, tetapi panggilan diakhiri setelah dijawab tidak ada orang yang bisa membantu, dan panggilan ulang tidak tersambung
  • Perusahaan induk HBS, Infront Sports & Media, juga ditelepon tetapi tidak tersambung
  • Peneliti kemudian memastikan bahwa CISA adalah pemimpin federal untuk keamanan siber FIFA World Cup 2026 termasuk sistem siaran, lalu menghubungi pusat operasi 24/7
    • CISA menerima telepon dan meminta detail via email
  • Kontak FBI yang sudah dikenal dari pekerjaan keamanan siber sebelumnya juga dihubungi lewat Signal, dan pihak FBI menjawab bahwa mereka memiliki jaringan kontak dan informasi perlu dikemas dengan tepat

Paparan yang tersisa setelah perbaikan

  • Di antara pelaporan dan hari berikutnya, kerentanan ini diperbaiki, dan akun NO_ROLES milik peneliti kini menerima respons 403 dari server alih-alih layar penolakan akses di sisi klien
  • FIFA tidak memberikan respons langsung apa pun terkait konfirmasi laporan, ucapan terima kasih, atau pembahasan imbalan
  • Namun, peneliti menyatakan bahwa ia masih berada di mailing list email FDP dan masih menerima dokumen pertandingan resmi FIFA World Cup 2026
    • Start Lists
    • Tactical Lineups
    • Full Time Match Reports
    • Dokumen yang dikirim dalam 4 bahasa

Akar masalah: tidak ada pemaksaan otorisasi di sisi server

  • Akar penyebabnya adalah arsitektur yang hanya memeriksa otorisasi di sisi klien tanpa pemaksaan di sisi server
  • Aplikasi internal FIFA menggunakan Microsoft Entra untuk autentikasi dan role-based access control, tetapi frontend hanya memeriksa role claim JWT untuk merender layar penolakan akses
  • API backend hanya mempercayai fakta bahwa pengguna adalah anggota tenant yang telah diautentikasi, lalu memberikan data tanpa memedulikan peran
  • Alur serangannya adalah sebagai berikut
    • Registrasi publik di agents.fifa.org
    • Akun ditambahkan ke tenant Entra FIFA
    • Autentikasi ke aplikasi internal FIFA
    • Klien menampilkan penolakan akses
    • Server tetap memberikan data
  • Pola ini setidaknya memengaruhi sistem berikut
    • fdp.fifa.org — Football Data Platform
    • cis.fifa.org — Commentator Information System
    • xxxxxxxxx-spreadsheets-api.azurewebsites.net — lingkungan pengembangan
  • Peneliti meminta FIFA menyediakan file security.txt, kebijakan pengungkapan kerentanan (VDP), program bug bounty, dan pemeriksaan otorisasi di sisi server

Bacaan terkait

1 komentar

 
GN⁺ 4 jam lalu
Opini Lobste.rs

  • Jadi penasaran apakah dia juga bisa mengakses konsol manajemen suap FIFA

    • Mungkin itu adalah Debbie.xlsx

  • could've, ya—sayang sekali ternyata tidak benar-benar dilakukan

    • Tapi kemungkinan besar itu akan menyeretnya ke masalah besar, dan tampaknya itu bukan sesuatu yang layak dipertaruhkan demi lelucon
    • Sebagai catatan, pronomina orang itu adalah she/her

  • Saya tidak paham nada tulisannya
    Ini murni kejadian yang lucu. Membayangkan internet tanpa insiden peretasan seperti ini terasa terlalu membosankan, dan penulis justru seharusnya berterima kasih
    Lagi pula, tidak ada yang menyuruhnya melapor, jadi saya juga tidak mengerti kenapa dia mengeluh bahwa pelaporannya sulit. Kalau mau, ya laporkan; kalau tidak, ya jangan. Kalau dia memang semarah itu, sekalian saja dieksploitasi, bukan mengeluh karena tidak ada email untuk pelaporan kerentanan keamanan
    Yang aneh adalah penulis tidak menyalahkan kerentanannya yang sangat bodoh itu sendiri, melainkan hanya menyalahkan fakta bahwa pelaporannya dibuat sulit

    • Kemungkinan besar itu adalah kemarahan moral karena organisasi sebesar itu ternyata tidak punya tim keamanan
    • Tulisannya kemungkinan besar dibuat oleh LLM
      Dasarnya antara lain penggunaan Title Case, kalimat-kalimat pendek dengan banyak titik, pertanyaan retoris singkat seperti “That UUID at the end? [...] That's the stream key”, dan penggunaan kata “breakthrough” dalam tulisan nonteknis
      Kalau melihat tulisan panjang penulis di media sosial, gayanya tidak seperti ini
    • Kemungkinan penulis adalah orang pertama yang menemukan kerentanannya, lalu menjelajahi semua halaman yang bisa diakses, meninggalkan jejak di sana-sini, dan juga memverifikasi identitasnya
      Jadi mungkin dia panik. Dia melihat sesuatu yang seharusnya tidak boleh dilihat siapa pun, dan kalau benar terjadi peretasan sungguhan, dia akan menjadi tersangka pertama
    • Mengingat korupsi terang-terangan FIFA, justru terasa aneh kalau orang repot-repot melaporkan pelanggaran keamanan dan mengharapkan sesuatu darinya

  • Mengejutkan bahwa organisasi sebesar ini bahkan tidak bisa menjaga hal-hal dasar

    • Terlihat persis seperti jenis organisasi yang tidak akan menganggap serius keamanan TI
      Kesan saya, jajaran pimpinannya pasti diisi para pebisnis dengan tingkat pemahaman komputer setara Derek Zoolander

  • Saya bisa memahami bahwa kerentanan bisa saja ada, tetapi jika peneliti keamanan harus menghubungi FBI untuk melaporkannya, berarti ada masalah struktural yang lebih besar

  • Akan keren kalau seorang peretas benar-benar merickroll FIFA World Cup
    Itu pasti akan jadi aksi selelegendaris peretasan Sphere di Las Vegas

  • Rasanya seperti integrasi antara portal dan panel streaming itu dibuat asal jadi dengan bantuan Copilot, lalu dianggap selesai

  • Saya penasaran apakah situsnya down untuk semua orang, atau hanya saya

    • Dari Jepang bisa diakses
    • Di sisi saya sempat down, tetapi saya menemukan tautan archive.org lewat tautan “caches” tepat di bawah tag
    • Mungkinkah server DNS memfilter domain itu? DNS saya memfilternya karena domain tersebut ada di daftar blokir yang saya gunakan
      Saat dites dengan resolver rekursif publik, sepertinya tidak ada masalah pada situsnya sendiri
      Domain ini seminggu lalu ada di dns blocklist salinan rpz/tif.txt. Mungkin juga ada di format lain, tetapi saya hanya memeriksa file yang saya pakai
      Saya tidak tahu indikator apa yang dipakai untuk memasukkan domain itu ke daftar tersebut, tetapi di rilis terbaru sudah tidak ada lagi