FIFA’nın iç sistemlerinde tespit edilen bir güvenlik açığı, Dünya Kupası organizasyonunda kullanılan çeşitli platformlara yetkisiz erişim sağlanmasına yol açtı. BobDaHacker takma adını kullanan bir güvenlik araştırmacısı, basit bir yetkilendirme hatasından yararlanarak FIFA’nın farklı dahili sistemlerine erişebildiğini ve hatta turnuva yayınlarının yönetildiği altyapıyı görüntüleyebildiğini açıkladı. Araştırmacının aktardığı bilgilere göre sorun, kullanıcıların belirli sistemlere erişim için gerekli izinlere sahip olup olmadığını doğrulamayan bir arka uç API’sinden kaynaklanıyordu.
Araştırmacının paylaştığı teknik detaylara göre süreç oldukça basit ilerledi. İlk olarak FIFA’nın resmi oyuncu menajeri kayıt platformu üzerinden standart bir hesap oluşturuldu. Normal koşullarda bu hesabın yalnızca ilgili hizmetlerle sınırlı erişim sunması gerekiyordu. Ne var ki arka plandaki API’de bulunan yetkilendirme eksikliği nedeniyle sistem, kullanıcının hangi verilere veya platformlara erişme hakkına sahip olduğunu yeterince kontrol etmiyordu. Bu durum, normal kullanıcıların erişememesi gereken çeşitli dahili araçların görünür hâle gelmesine neden oldu.
Araştırmacının iddiasına göre erişilen sistemler arasında yayıncı kuruluşların kullandığı bazı kritik araçlar da yer alıyordu. Bunlar arasında televizyon yayınlarında ekrana yansıtılan bilgilerin yönetildiği ve maç anlatımı yapan yorumcuların ekranlarında gösterilen içeriklerin kontrol edildiği platformlar bulunuyordu. Bu tür sistemler, canlı yayın deneyiminin temel parçaları arasında yer aldığı için olası bir kötüye kullanım senaryosu geniş çaplı sonuçlar doğurabilirdi.
İLGİNİZİ ÇEKEBİLİR
SpaceX halka arzda 85,7 milyar dolara ulaşarak yeni bir rekora imza attı
ABD hükümetinin baskısı Anthropic’in yükselişini durduramadı
Apple’ın katlanabilir iPhone planlarında değişiklik olmadığı öne sürüldü
Threads Türkiye’de yeniden çalışmaya başladı, Meta hesap onayı istiyor
İtalya, iCloud nedeniyle Apple’ı mercek altına aldı
Yetkilendirme açığı kritik yayın sistemlerine kadar uzandı
BobDaHacker tarafından yayımlanan blog yazısında, söz konusu açığın teorik olarak oldukça ciddi sonuçlar yaratabileceği ifade edildi. Araştırmacı, tek bir saldırganın aynı anda tüm kamera akışlarını etkileyebilecek seviyede erişim elde edebileceğini öne sürdü. Paylaşımda, kötü niyetli bir kişinin Dünya Kupası yayınlarını küresel ölçekte manipüle edebilecek durumda olabileceği belirtildi. Her ne kadar bu tür senaryoların gerçekleştiğine dair bir bulgu bulunmasa da, erişim seviyesinin ulaştığı nokta güvenlik uzmanlarının dikkatini çekebilecek ölçüde yüksek görünüyor.
Siber güvenlik dünyasında bu tür açıklar genellikle “eksik yetkilendirme kontrolü” veya “broken access control” kategorisinde değerlendiriliyor. Son yıllarda yayımlanan OWASP raporlarında da erişim kontrolü hataları, en yaygın ve en tehlikeli web uygulaması güvenlik sorunları arasında gösteriliyor. Bir kullanıcının kimliğinin doğrulanmış olması, her sisteme erişebileceği anlamına gelmiyor. Bu nedenle uygulamaların her işlemde kullanıcının yetkisini ayrıca doğrulaması gerekiyor.
Araştırmacının açıklamasına göre güvenlik açığı Japonya saatiyle salı gecesi FIFA’ya bildirildi. FIFA’nın ise sorunu birkaç saat içerisinde giderdiği belirtildi. Buna rağmen araştırmacı, gönderdiği güvenlik raporuna ilişkin herhangi bir geri dönüş veya resmi doğrulama almadığını ifade etti. FIFA tarafından olayla ilgili kamuoyuna yapılmış ayrıntılı bir açıklama bulunmuyor.
⚡️⚡️ BU FIRSATLAR İLGİNİZİ ÇEKEBİLİR ⚡️⚡️
Teknoblog'un satış ortaklıkları vardır. Bunlar, editoryal içeriği etkilemez, ancak Teknoblog, satış ortaklığı bağlantıları üzerinden satın alınan ürünler için komisyon kazanabilir.
