Paylaş
0
Dünyanın en büyük spor organizasyonlarından biri olan 2026 FIFA Dünya Kupası devam ederken, skandal niteliğinde bir güvenlik açığı ortaya çıktı. Bir siber güvenlik araştırmacısı, sadece resmî bir platforma kayıt yaptırarak elde ettiği standart kullanıcı hesabı sayesinde, Dünya Kupası'nın tüm canlı yayın ağını ele geçirme noktasına geldi.
Eğer bu açık kötü niyetli kişiler tarafından fark edilseydi, milyarlarca insanın izlediği canlı maç yayınlarına tamamen farklı videolar basılabilir ya da tüm yayınlar tek bir tıkla tamamen durdurulabilirdi. Peki tüm bu süreç tam olarak nasıl yaşandı?
İçerikten Görseller
Olaylar nasıl başladı?
Siber güvenlik araştırmacısı, FIFA'nın resmî futbol menajerliği kayıt platformu olan FIFA Agent Platform üzerinden lisanslı bir menajer olmak için normal bir başvuru gerçekleştirdi. İlk iki kimlik doğrulama denemesi ışık yetersizliği nedeniyle reddedilse de üçüncü denemesinde onay aldı.
Asıl tehlike ise bu kayıt işleminden hemen sonra başladı:
- Platforma kayıt olan her kullanıcı, otomatik olarak FIFA'nın Microsoft Entra (eski adıyla Azure AD) kurumsal kimlik yönetimi ağına ekleniyordu.
- Bu ağ, FIFA'nın sadece menajerlik platformunu değil, şirket içindeki tüm kritik sistemlerini besleyen ortak havuzdu.
Panelde canlı yayın kontrolleri yer alıyordu
Siber güvenlik araştırmacısı, bu kimlikle FIFA'nın Futbol Veri Platformu'na giriş yapmayı denedi.
Karşısına "Hesabınıza tanımlanmış bir rol bulunamadı" şeklinde bir uyarı ekranı çıktı ancak bu uyarının sadece görsel (istemci taraflı) olduğunu fark etmesi uzun sürmedi. İnternet sitesinin arkasındaki sunucu sorguları hiçbir rol kontrolü yapmadan tüm veriyi dışarı sızdırıyordu.
Görsel engeli aşan araştırmacı, Canlı Yayın Yönetim Paneli ile karşı karşıya kaldı:
- 2026 FIFA Dünya Kupası kapsamındaki tüm maçların canlı yayın akışları listelenmiş durumdaydı.
- Her maç için 5 farklı kamera açısının canlı yayın sunucu adresleri ve yayın anahtarları açıkça görünüyordu.
- Siber güvenlik araştırmacısı bu linklerden birini kopyalayıp VLC medya oynatıcısına yapıştırdığında, Tokyo'daki evinden o sırada oynanmakta olan bir Dünya Kupası maçının taktik kamerasını canlı ve sorunsuz şekilde izleyebildi.
Panelde sadece izleme yetkisi değil; yayınları başlatma, durdurma ve zamanlama butonları da aktifti. Ayrıca bu yayın anahtarları kullanılarak stadyumdan yayıncı kuruluşlara giden ana video sinyalinin üzerine sahte bir video yayını basılması işten bile değildi.
Maç skorları ve istatistikler de değiştirilebiliyordu
Açık sadece video yayınlarıyla sınırlı kalmadı. Aynı hesaba sahip herhangi biri, canlı maç yönetim ekranındaki yazma yetkileri sayesinde şu kritik verilere müdahale edebiliyordu:
- Canlı maç skorlarını ve istatistiklerini değiştirme.
- Resmî maç başlama saatini manipüle etme.
- Spiker Bilgi Sistemi'ne sızarak spikerlerin canlı yayında okuduğu editör notlarını ve taktik diziliş verilerini sabote etme.
- Geliştirici ortamında unutulan bir sızıntı sebebiyle FIFA'nın transfer raporları, gelir karşılaştırmaları ve yönetim kurulu düzeyindeki 23 gizli dâhili belgesini indirme.
Durumu FIFA'ya haber vermeye çalıştı
FIFA'nın resmî bir siber güvenlik iletişim adresi bulunmadığı için siber güvenlik araştırmacısı, durumu bildirmek adına âdeta zamanla yarıştı. FIFA yetkililerine e-posta ve WhatsApp üzerinden ulaşamayınca küresel bir kriz masası devreye girdi:
- Altyapıyı sağlayan teknoloji ortağı MediaKind şirketine telefonla ulaşıldı ve kanıtlar sunuldu.
- Dünya Kupası'nın siber güvenliğinden sorumlu olan ABD federal kurumu CISA'nın 7/24 operasyon merkezi aranarak rapor iletildi.
- FBI'daki mevcut siber güvenlik bağlantıları aracılığıyla durum acil koduyla raporlandı.
Yapılan acil bildirimlerin ardından ertesi sabah FIFA sistemdeki hatayı düzeltti ve sunucu tarafında yetkisiz istekleri engellemeye başladı.
FIFA, açığı bildiren araştırmacıya herhangi bir teşekkür mesajı, resmî yanıt veya ödül dönüşü yapmadı. Hatta sistemde yapılan özensiz düzeltmeler nedeniyle araştırmacı, hâlen [email protected] adresinden Dünya Kupası'nın resmî taktik dizilişleri, başlangıç listeleri ve maç raporlarını otomatik e-posta olarak almaya devam ettiğini belirtiyor.
