![]()
一位安全研究員的發(fā)現(xiàn),讓全球矚目的世界杯賽事驚出一身冷汗。一個(gè)看似不起眼的賬號(hào)漏洞,竟能一路暢通無阻,直抵世界杯轉(zhuǎn)播的核心后臺(tái)。
這事聽起來像電影情節(jié),但就發(fā)生在眼前。
![]()
![]()
![]()
一個(gè)賬號(hào),撬開世界杯大門
整個(gè)過程的第一步,樸素得令人意外。研究員在一個(gè)公開的足球經(jīng)紀(jì)人平臺(tái)注冊(cè)了一個(gè)賬號(hào)。這個(gè)平臺(tái)沒有門檻,誰都能注冊(cè)。
關(guān)鍵在于,這個(gè)賬號(hào)體系與世界杯內(nèi)部多個(gè)系統(tǒng)是共用的。研究員用這個(gè)賬號(hào)嘗試登錄一個(gè)足球數(shù)據(jù)平臺(tái),網(wǎng)頁前端提示 “沒有權(quán)限”,但服務(wù)器后端卻默認(rèn)放行。
![]()
這就好比前臺(tái)保安攔著你說 “不能進(jìn)”,后臺(tái)管理員卻把門禁卡塞給你,還說了句 “來都來了”。
憑借這張 “門禁卡”,研究員直接進(jìn)入了世界杯的流媒體管理后臺(tái)。在這里,他能看到所有機(jī)位的攝像機(jī)直播信號(hào),還能獲取流媒體密鑰。相當(dāng)于他坐在了全球轉(zhuǎn)播的總控室里,能無延遲地看到每一路畫面。
![]()
研究員自己說,在極端情況下,他甚至能直接替換視頻信號(hào)。想象一下,如果有人在球員臨門一腳時(shí)按下暫停鍵,全球觀眾看到的畫面會(huì)是什么樣?
這個(gè)漏洞的破壞力遠(yuǎn)不止于此。同一個(gè)賬號(hào),還能進(jìn)入評(píng)論員信息管理系統(tǒng)和比賽管理系統(tǒng)。
這意味著,比分、球員介紹、給評(píng)論員的實(shí)時(shí)提示信息,都可能被篡改。
![]()
舉個(gè)例子,評(píng)論員耳機(jī)里收到的正常提示可能是:“這名球員本屆世界杯已打入三球。” 如果被惡意修改,可能變成:“這位球員最大的特點(diǎn)是尊老愛幼。”
評(píng)論員還得硬著頭皮往下解說:“你看他這次突破,是不是特別凸顯他平時(shí)的家教?” 場(chǎng)面將變得無比荒誕。
發(fā)現(xiàn)如此重大的安全隱患后,研究員想聯(lián)系賽事方報(bào)告漏洞,卻遇到了新問題:對(duì)方根本沒有設(shè)置漏洞報(bào)告渠道,連個(gè)聯(lián)系方式都找不到。
![]()
研究員連夜聯(lián)系了從流媒體供應(yīng)商到 FBI 在內(nèi)的各方,然而到了第二天,除了漏洞被默默修復(fù),再無任何回應(yīng)。賽事主辦方至今拒絕就此事發(fā)表評(píng)論。
為什么高科技賽事,栽在低級(jí)錯(cuò)誤上?
這幾年,大型體育賽事科技含量越來越高。云服務(wù)、VAR、智能足球、AI 分析,各種新技術(shù)爭(zhēng)相登場(chǎng)。但為什么還會(huì)出現(xiàn)如此低級(jí)的賬號(hào)漏洞?
![]()
根本原因在于,數(shù)字化程度越高,安全風(fēng)險(xiǎn)反而被放大了。
現(xiàn)在的世界杯,早已不是單純的球場(chǎng)競(jìng)技。攝像機(jī)、VAR 系統(tǒng)、智能足球、比分系統(tǒng)、評(píng)論員平臺(tái)、電視包裝、票務(wù)支付、場(chǎng)館網(wǎng)絡(luò)、AI 分析…… 所有這些環(huán)節(jié)都接入了一套龐大的系統(tǒng)。
效率確實(shí)提升了,但風(fēng)險(xiǎn)也像 “鐵索連環(huán)” 一樣,被層層傳導(dǎo)和放大。一個(gè)賬號(hào)漏洞,可能影響全球直播;一個(gè)系統(tǒng)被攻破,可能擾亂現(xiàn)場(chǎng)秩序。
![]()
隨著體育賽事科技化,它們也成了網(wǎng)絡(luò)攻擊的高價(jià)值目標(biāo)。
2018 年平昌冬奧會(huì)開幕式期間,就遭到網(wǎng)絡(luò)攻擊,導(dǎo)致場(chǎng)館 WiFi、官方 APP、RFID 檢票系統(tǒng)全部癱瘓。本想展示數(shù)字化的東道主,最后不得不靠人工手動(dòng)檢票,尷尬收?qǐng)觥?/strong>
![]()
2024 年巴黎奧運(yùn)會(huì)的比賽場(chǎng)館 IT 系統(tǒng),也曾遭遇網(wǎng)絡(luò)勒索。而瞄準(zhǔn) 2026 年米蘭冬奧會(huì)的黑客,甚至提前黑進(jìn)了運(yùn)動(dòng)員計(jì)劃入駐的酒店系統(tǒng)。
這些案例都指向一個(gè)事實(shí):大型賽事不能只上科技,不長(zhǎng) “心眼”。
賽事的網(wǎng)絡(luò)安全,絕不是建一道防火墻、掃幾次漏洞就能高枕無憂的。
![]()
以這次世界杯漏洞為例,安全意識(shí)必須落實(shí)到每一個(gè)服務(wù)器、每一行代碼。賽事涉及的所有合作方 —— 云廠商、流媒體商、轉(zhuǎn)播商、酒店、場(chǎng)館 —— 都必須被納入統(tǒng)一的安全防護(hù)體系。否則,黑客一定會(huì)找到最薄弱的環(huán)節(jié)下手。
![]()
![]()
最后,必須建立暢通的漏洞報(bào)告和應(yīng)急響應(yīng)機(jī)制。不能總指望 “熱心路人” 為愛發(fā)電,主動(dòng)幫你找漏洞、堵漏洞。
畢竟,世界杯可以有加時(shí)賽,但網(wǎng)絡(luò)攻擊,不會(huì)給你補(bǔ)時(shí)。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.