Представьте, что вы можете остановить матч, перенаправить трансляцию, подделать результаты или украсть миллионы билетов. В 2018 году исследователь безопасности обнаружил критические уязвимости в инфраструктуре FIFA, которые позволяли ему это сделать. Его находка — не вымысел, а реальная история о том, как один человек мог получить полный доступ к системам Чемпионата мира. Мы разберём, как была построена атака, какие системы оказались под ударом и почему это стало уроком для всей индустрии. Всё началось с обычного реверс-инжиниринга мобильного приложения FIFA. Исследователь заметил, что приложение общается с серверами через REST API, использующее простую аутентификацию по токену. Токен генерировался на основе учётной записи, но не проверялся на стороне сервера должным образом. Достаточно было подставить чужой ID пользователя, чтобы получить его токен. Это открыло доступ к данным о билетах, аккаунтах волонтёров и даже к административным панелям. Исследователь не остановился на чтении дан
Как я мог взломать всю инфраструктуру Чемпионата мира FIFA: разбор уязвимостей
26 июня26 июн
6
2 мин