BobDaHacker hat sich mit seinem Personalausweis als Agent bei der FIFA angemeldet, um dann festzustellen, dass jegliche Authentifizierung für diverse FIFA-Systeme nur Client-seitig geprüft wurde, nicht auf dem jeweiligen Server. Wodurch er sich problemlos Zugang zur Livestream-Verwaltung verschaffen konnte. Er hätte dadurch jeden Stream manipulieren können und z.B. Millionen Zuschauer weltweit rickrollen oder beim Finale mit Subway Surfers-Gameplay trollen können, wie er selbst schreibt.
Die Sicherheitslücke zu melden, war dann wohl gar nicht so einfach. Erst als er sich an US-Behörden wandte, ging es weiter. Die FIFA selbst hat sich bis heute nicht gemeldet – oder bedankt.
6 Reaktionen / Kommentar schreiben