Wer die Kontrolle über die weltweiten TV-Bilder der Fußball-WM in den Händen hält, sollte besser gut darauf aufpassen. Doch genau dieser Sorgfaltspflicht ist die FIFA während des aktuell laufenden Turniers offenbar nicht nachgekommen.
Einer IT-Sicherheitsexpertin ist es laut eigenen Aussagen gelungen, mit einfachsten Mitteln eine Schwachstelle im Anmeldeportal der FIFA aufzudecken, die ihr vollen Zugriff auf die WM-Streams lieferte.
Wie die Hackerin auf ihrem Blog detailliert aufschlüsselt, verschaffte ihr ein schlichter Fehler die vollen Administratorrechte über das offizielle Sende-System der FIFA zur Fußball-WM.
Mit dem digitalen Generalschlüssel hatte sie jederzeit die Möglichkeit gehabt, sämtliche Livestreams aus den Stadien zu beenden oder zu manipulieren.
0:53
Wer Fußball sowie Lego gleich gut findet und 180 Euro übrig hat, kann sich schon jetzt den WM-Pokal 2026 ins Regal stellen
Per Selfie zur vollen Kontrolle
Der Weg in das zentrale System der FIFA sei laut der IT-Sicherheitsexpertin überaus einfach gewesen. Nach dem Upload ihres Ausweises und eines Selfies sei ihr Account automatisch erstellt und in das System der FIFA als Standardnutzer aufgenommen worden.
Sie stieß dabei direkt auf einen schwerwiegenden Fehler der Entwickler: Die Prüfung der Rechte eines jeden Nutzers erfolgte nur lokal in dem Browser und nicht wie üblich auf einem Server. Durch einfache Manipulation gelang es ihr, Zugriff auf für sie sonst gesperrte Systeme wie dem zentralen Streaming-System zu erhalten.
Sie bekam damit auch Zugriff auf sämtliche weltweiten Kamera-Feeds des WM-Turniers. Laut ihres Blogposts teilten sich alle fünf Kameraperspektiven eines Spiels denselben Schlüssel für die Video-Einspeisung.
Ein echter Angreifer hätte so unter anderem die Streams stoppen oder aber ersetzen können. Zudem habe sie so vollen Schreibzugriff auf das Informationssystem der TV-Kommentatoren gehabt und hätte in Echtzeit Spielstände, Taktik-Daten und Notizen nach Belieben fälschen können.
Sackgassen bei Meldung der Sicherheitslücke
Besonders brisant sei jedoch die Reaktion der FIFA gewesen – oder vielmehr das Ausbleiben einer solchen. Als die Sicherheitsexpertin die Lücke melden wollte, habe sie vor verschlossenen Türen gestanden.
Der Versuch der Kontaktaufnahme gestaltete sich laut eigenen Aussagen äußert schwierig. Es scheiterte an nicht funktionierenden E-Mail-Adressen und nicht besetzten Telefonen.
Mehr zum Thema WM: Vergesst die offizielle FIFA-App: Diese 3 Alternativen liefern alles, was ihr zur Fußball-WM 2026 wissen müsst
Der Versuch über andere zuständige Stellen wie das FBI oder die Sicherheitsagentur CISA war erfolgreicher. Der Fall wurde aufgenommen und die Sicherheitslücke bereits am nächsten Tag behoben.
Allerdings erhielt die Hackerin wohl selbst keine weiteren Informationen oder zumindest ein »Danke« von der FIFA.
Die Fußball-WM der Männer in Kanada, Mexiko und den USA läuft seit dem 11. Juni. Das Finale findet am 19. Juli im MetLife Stadium in East Rutherford statt.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.