بمجرد إرسال بريد إلكتروني واحد، تمكن أحد المخترقين من الوصول إلى البث المباشر لكأس العالم، مع سيطرة كاملة .. "كان بإمكاني إيقاف البث، أو القيام بمقلب ريك رول"

من المفترض أن تتمتع بثوث أكبر حدث رياضي في العالم بأعلى مستويات الأمان، خاصةً مع كراهية مسؤولي كرة القدم الشديدة للقرصنة، لدرجة قطع الإنترنت عن الأبرياء. لكن لم يكن على مخترق يُدعى bobdahacker سوى إنشاء حساب للسيطرة الكاملة على منصة بث كأس العالم لكرة القدم 2026.

نتحدث هنا عن صلاحيات وصول كاملة إلى جميع بثوثهم وكلمات مرورهم. القدرة على إيقاف البث المباشر، أو استبداله بمقطع فيديو ساخر: كما تمازح هي نفسها، مستوحيةً من فيديو كليب Rick Astley.

مع سيطرة تامة على الكاميرات الخمس في كل ملعب، والبيانات التي يراها المعلقون، وحتى خيار تغيير الرسائل التي يبثونها أثناء المباريات. القصة تبدو خيالية، لكنها موثقة توثيقًا دقيقًا.

بحسب مدونة bobdahacker، توفر الفيفا منصة عامة للتسجيل كوكيل لاعبين. كل ما عليك فعله هو إدخال معلوماتك الشخصية، ورقم هويتك، وعنوان بريدك الإلكتروني.

باستخدام هذا الحساب، تمكن من الوصول إلى موقع وكلاء كرة القدم التابع للفيفا. ومن هناك، حاول الوصول إلى منصة بيانات الفيفا، التي تتيح للوكلاء الوصول إلى البيانات العامة المتعلقة بالفرق واللاعبين، وما إلى ذلك.

لكن المنصة رفضت طلبها، وأبلغتها بأنه لم يتم تعيين أي دور لها. بعبارة أخرى، لم يتعرف النظام على حسابها بعد. وهذا أمر مفهوم، إذ أنها سجلت للتو ولم يتم التحقق من هويتها.

كانت المفاجأة عندما أدرك، بصفته مخترقًا، أن كل هذا يحدث على جانب المستخدم. كان التطبيق يتحقق مما إذا كان رمز JWT (كلمة المرور) يحتوي على علامة NO_ROLES، ثم يعرض صفحة رفض الوصول. أما واجهات برمجة التطبيقات الخلفية؟ فلم تكن تتحقق من أي شيء، بل كانت ببساطة تُقدم ما يُطلب.

كان عليه فقط تجاوز هذه الضوابط على جانب المستخدم، وهو أمر في غاية السهولة بالنسبة للمخترق، ليحصل على صلاحية وصول كاملة إلى لوحة إدارة بث مباريات كأس العالم. يقول bobdahacker: "لقد عجزت عن الكلام".

من خلال هذه المنصة، تمكنت من الوصول إلى جميع البث المباشر والمسجل لكل مباراة. كل زاوية كاميرا. كل مفتاح بث. حتى الزر الذي يسمح لك بإيقاف البث المباشر وترك مئات الملايين من الأشخاص أمام شاشة سوداء، كما هو موضح في لقطة الشاشة هذه:

بل إنه تمكن من مشاهدة مباراة على حاسوبه باستخدام مشغل VLC. وبما أن مفتاح البث كان موجودًا ضمن الرابط نفسه، فقد استطاع تغيير المحتوى إلى أي فيديو أو رسالة، وهذا ما سيشاهده مئات الملايين من الناس مباشرةً.

أتاح له الوصول الكامل إلى شاشات المعلقين القيام بأشياء مثل تعديل ملاحظات التعليق التحريري ونشرها على أنظمة البث، وتقديم أو تأخير صافرة الحكم لبدء المباراة، أو تغيير التشكيلات والنتائج والإحصائيات التي يستخدمها المعلقون في البث المباشر.

بالطبع، لم يلمس أي شيء، لأن ذلك قد يُعد جريمة خطيرة. حاول التواصل مع الإدارتين القانونية والتقنية في الفيفا عبر البريد الإلكتروني والهاتف، لكن دون جدوى. في النهاية، تواصل مع مكتب التحقيقات الفيدرالي، الذي أخبره بأنه سيُجري تحقيقًا في الأمر.

في صباح اليوم التالي، تم إصلاح الثغرة الأمنية. لم تتلقَّ أي اتصال من الفيفا. لا شكر ولا مكافأة. هذا هو الحال في أغلب الأحيان. لو أن اختراق بث مباريات كأس العالم 2026 كان من فعل مجرم إلكتروني، لكانت الأضرار جسيمة للغاية.