בעולם שבו אירועי ספורט בינלאומיים הפכו למכונות תוכן משומנות, החשיפה האחרונה של חוקר האבטחה המכונה "Bob the Hacker" מטלטלת את יסודות אבטחת המידע של התאחדות הכדורגל הבינלאומית. בלב האירוע עומד כשל תכנוני בסיסי שחשף את תשתיות השידור הרגישות ביותר של גביע העולם 2026, והפך כל אדם בעל גישה לאינטרנט לאיום פוטנציאלי על חוויית הצפייה של מיליארדי בני אדם.
מסי מתכונן לפתוח את המונדיאל האחרון שלו
(עוז מועלם)
גישה מלאה ללוח הבקרה של המונדיאל
על פי הפרסום של ההאקר בבבלוג שלו שלשום (ב') הפרצה התגלתה בפורטל סוכני השחקנים הרשמי של פיפ"א. כל אדם היה יכול להירשם לשירות עם תעודה מזהה רגילה, מה שהעניק לו אוטומטית הרשאות בתוך סביבת הענן הארגונית של פיפ"א (Microsoft Entra).
כאן טמון הכשל הטכנולוגי - בזמן שממשקי המשתמש באתרים השונים של פיפ"א הציגו מסכי "גישה נדחתה", שרתי ה-API האחוריים לא ביצעו בדיקת הרשאות בצד השרת. התוצאה הייתה גישה מלאה וחסרת סינון ללוח הבקרה של הפקת המונדיאל.
הממצאים מפחידים בהיקפם. מדובר בגישה ישירה למערכת הניהול ששלטה בכל מצלמה, זווית צילום ושידור חי מהאצטדיונים. החוקר יכול היה, באופן תיאורטי, להחליף את שידור המשחק הרשמי בכל תוכן אחר, החל מסרטוני גיימינג ועד לתכנים פוגעניים, היישר למסכי הטלוויזיה של רשתות השידור הגלובליות.
מעבר לשליטה בשידור, התגלתה חולשה שאפשרה גישה מלאה למערכות סטטיסטיקה בזמן אמת, הערות של שדרנים ומאגרי מידע ארגוניים פנימיים. סוכני הימורים למשל היו יכולים לנצל זאת לגריפת הון לא קטן.
איפה אבטחת המידע של פיפ"א?
בעוד חברות טכנולוגיה גדולות בעמק הסיליקון משקיעות מיליארדי דולרים בתוכניות לאיתור פרצות וחולשות אצלן, המעודדות חוקרים לדווח על חולשות תמורת תגמול, פיפ"א, לעומת זאת, לא מחזיקה אפילו במדיניות דיווח אבטחה בסיסית, מה שאילץ את החוקר לנהל מסע טלפוני לילי מתיש מול רשויות אכיפת חוק בינלאומיות וסוכנויות הביון כדי שמישהו יתייחס לדיווח שלו.
מאז המעבר של תעשיית הטלוויזיה מלוויינים אנלוגיים מבודדים לרשתות IP ופרוטוקולי סטרימינג (RTMP, HLS), אבטחת שרשרת ההפצה הפכה לקריטית. פריצות דומות בתחום הסטרימינג בעשור האחרון הדגימו כי הפיכת התשתית הפיזית לנתונים מבוססי תוכנה מייצרת "משטח תקיפה" (Attack Surface) רחב, שבו טעות אנוש או רשלנות בתכנון הרשאות עלולה להסתיים בקטסטרופה תדמיתית ותפעולית. הטלוויזיה האיראנית חוותה זאת מספר פעמים בשנתיים האחרונות במיוחד בסביבות המלחמות שלה מול ישראל.
הפער בין היכולת הטכנולוגית להעביר שידור באיכות 8K לכל פינה בעולם, לבין היכולת להגן על הדלת הקדמית של הארגון, נותר תהומי. בעוד שפיפ"א אכן סגרה את הפרצה לאחר פניות החוקר, השתיקה הארגונית של ההתאחדות לאחר מכן מעידה על דרך ארוכה שעל מוסדות הספורט לעבור בתחום הדיגיטלי.
