2026美加墨世界杯正在如火如荼的举行着,牵动着全球球迷的心,但是谁能想到就在世界杯刚刚开幕的时候,一起足以撼动赛事转播体系的安全漏洞就被曝光了。海外安全研究员BobDaHacker仅用一个普通球员经纪人的账号,就差点控制了全球世界杯电视直播画面,这到底是怎么回事呢?
事情的起因非常简单,BobDaHacker在FIFA官方开放球员经纪人注册通道用真实身份信息提交了资料,免费得到了一个标注为NO_ROLES权限的账号,这种零权限账号一般来说是只能查看公开的球员转会信息。BobDaHacker登录系统以后,前端页面跳出无访问权限的403提示弹窗,直播管控后台的入口直接灰掉,BobDaHacker打开浏览器的F12开发者工具后,发现所有的直播管控接口请求都在网络面板中显示,他复制了其中一条获取直播推流地址的请求,在控制台重发,接口返回了200 OK。然后就可以看到所有场次、机位的RTMP推流地址和流密钥都在响应体中。这是一个非常危险的安全漏洞,漏洞的本质就是把认证当成了授权,也就是说FIFA的后端API只是校验了账号是不是属于FIFA的企业租户,并没有验证这个账号的权限级别。这是安全领域最基本的常识,但是却被忽略了。
前端页面虽然根据角色隐藏了后台入口,但是这只是前端的权限控制,在开发者工具面前并没有起到作用。研究员将把这个漏洞及时告知了FIFA安全团队、CISA和FBA。FIFA在6小时内快速完成了紧急修复,整个过程都没有发声直播劫持事件和数据丢失的情况,但是这个漏洞的出现,为所有大型活动做出预警提示。
很多人看到这里会觉得自己只是个很普通的球迷,这种安全漏洞的事情根本不会发生在自己身上。真的是这样吗?当然不是。FIFA安全漏洞就是认证通过但是授权缺失的典型案例,通俗来说就是只看你是不是自己人,而不管你是什么人,再就是以为把重要按钮简单的藏起来就安全了。很多钓鱼网站就是利用了这一点,他们会给你发送一封附带官网平台链接的邮件,提醒用户系统升级或者是密码换新,一旦你在上面输入了真的账号密码,就会跳出来系统维护中或者是稍后再试等弹窗,你看了以后就直接退出了,认为没有登录进去也不会有危险,实际上你的个人信息已经泄露被攻击者获取了。真正的网络安全不是我们肉眼可见的,而是在于后端是不是进行了严格的校验。
现在是AI时代,已经有黑客利用AI生成看起来很真实的钓鱼邮件来迷惑人们,个人的安全漏洞只会隐藏的更隐蔽。说了这么多并不是吓唬大家,而且在提醒大家日常使用电脑的时候,要注意防范和保护自己的数据安全。除了个人安全意识要提高,也可以安装电脑安全软件,比如2345安全卫士等,是很不错的选择。
(本内容信息来源于网络,如有侵权或不实之处可联系删除)
