大家好,我是小銳!
一名安全研究員通過注冊國際足聯公開的足球經紀人平臺賬號,意外進入世界杯后臺系統。該注冊過程無任何門檻,賬號被自動加入內部多系統共用的賬號體系。
登錄足球數據平臺時,前端顯示無權限,但服務器端默認允許索取數據,讓他順利進入世界杯流媒體管理后臺,看到各機位攝像機信號和流媒體密鑰。
![]()
極端情況下,他甚至能替換視頻信號,比如在球員進球前暫停直播。此外,該賬號還可進入評論員信息管理系統和比賽管理系統,修改比分、球員介紹、評論員提示等關鍵數據,這些數據會下發給轉播臺評論員,影響直播內容。
這位安全研究員本想上報漏洞獲取獎勵,卻發現國際足聯既無漏洞獎勵機制,也未留聯系方式。
![]()
他無奈聯系流媒體供應商、FBI 等機構,第二天漏洞被默默修復,但國際足聯至今拒絕回應。這種情況凸顯安全研究員的白帽困境:發現漏洞卻無處反饋,付出努力卻得不到認可或獎勵。
近年來大型體育賽事數字化程度越來越高,云服務、VAR 等技術提升賽事效率,但也帶來更大安全風險。本屆世界杯的攝像機、VAR、比分系統、評論員平臺等連入同一系統,風險像鐵鎖連環般傳導,一個賬號漏洞可能影響直播,場館被攻擊可能阻礙球迷入場。
![]()
過往案例敲響警鐘:2018 年平昌冬奧會開幕式遭網絡攻擊,WiFi 和官方 APP 停擺,2024 年巴黎奧運會場館 IT 系統遭勒索,2026 年米蘭冬奧會黑客侵入運動員酒店。這些事件說明,大型賽事不能只依賴科技,忽視安全防護。
賽事網絡安全防護不能僅靠防火墻和漏洞掃描。需要將安全意識落實到服務器層,對云廠商、轉播商、酒店等所有關聯方建立統一安全體系,同時建立順暢的漏洞報告機制和應急響應機制,不能依賴安全研究員的自發行動。世界杯有補時,但網絡攻防戰沒有補救時間,安全體系建設刻不容緩。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.