من المفترض أن تكون منصات البث لأكبر حدث رياضي على وجه الأرض، كأس العالم، محصنة بأعلى معايير الأمن السيبراني، خاصة وأن الهيئات الرياضية تشن حرباً لا هوادة فيها ضد القرصنة. ومع ذلك، كشفت واقعة مثيرة للدهشة عن تمكن مخترق يُعرف باسم "bobdahacker" من السيطرة المطلقة على منصة بث كأس العالم 2026 بمجرد إنشاء حساب بسيط، مما يطرح تساؤلات كبرى حول سلامة البنية التحتية الرقمية للفيفا.
💡 ملخص المقال:
- ✅ تمكن مخترق من الوصول الكامل إلى لوحة تحكم بث مباريات كأس العالم 2026.
- ✅ الثغرة سمحت بالتحكم في الكاميرات، بيانات المعلقين، وحتى إيقاف البث المباشر.
- ✅ الخلل الأمني نتج عن ضعف في التحقق من الصلاحيات على جانب الخادم (Backend).
- ✅ تم إصلاح الثغرة بعد تدخل مكتب التحقيقات الفيدرالي (FBI) دون أي شكر للمخترق.
كيف بدأت الرحلة من تسجيل بسيط إلى سيطرة مطلقة؟
تبدأ القصة عندما قررت المخترقة "bobdahacker" استكشاف نظام الفيفا المخصص لوكلاء اللاعبين. توفر الفيفا بوابة عامة للتسجيل، حيث لا يتطلب الأمر سوى إدخال البيانات الشخصية وعنوان البريد الإلكتروني. ومن خلال هذا الحساب المبدئي، حاولت الوصول إلى منصة بيانات الفيفا التي تحتوي على معلومات حساسة حول الفرق واللاعبين.
في البداية، رفض النظام طلبها موضحاً أنه "لم يتم تعيين أي دور لها" (NO_ROLES)، وهو إجراء منطقي بما أنها سجلت للتو ولم يتم التحقق من هويتها. لكن، وبصفتها خبيرة في اختراق المواقع، لاحظت أن هذا التحقق يكتفي بالجانب الظاهري للمستخدم (Client-side)، بينما كانت واجهات برمجة التطبيقات (APIs) في الخلفية ترسل البيانات المطلوبة دون أي تدقيق حقيقي في الصلاحيات.
صلاحيات خرافية: إيقاف البث والتلاعب بالنتائج
بمجرد تجاوز تلك الضوابط البسيطة، وجدت نفسها أمام لوحة إدارة بث مباريات كأس العالم. الصلاحيات التي حصلت عليها كانت مرعبة؛ حيث تمكنت من الوصول إلى كافة البثوث المباشرة والمسجلة، والتحكم في كل زاوية كاميرا في الملاعب، بل وحتى الوصول إلى "زر الإيقاف" الذي يمكنه قطع الإرسال عن مئات الملايين من المشاهدين حول العالم في لحظة واحدة.
ولم يتوقف الأمر عند هذا الحد، بل امتدت السيطرة لتشمل شاشات المعلقين، مما يتيح للمخترق تعديل الملاحظات التحريرية، أو التلاعب بتوقيت صافرة الحكم، أو حتى تغيير إحصائيات المباراة وتشكيلات الفرق التي تظهر على الشاشة مباشرة. كان بإمكانها بكل بساطة تنفيذ "مقلب ريك رول" الشهير واستبدال البث بمقطع فيديو ساخر.
تجاهل الفيفا وتدخل مكتب التحقيقات الفيدرالي
بدافع أخلاقي، لم تقم "bobdahacker" بأي عمل تخريبي. حاولت جاهدة التواصل مع الأقسام التقنية والقانونية في الفيفا عبر الهاتف والبريد الإلكتروني للإبلاغ عن هذه الثغرة الخطيرة، لكنها واجهت صمتاً تاماً. في النهاية، اضطرت للجوء إلى مكتب التحقيقات الفيدرالي (FBI) الذي استجاب للبلاغ وبدأ التحقيق فوراً.
في صباح اليوم التالي مباشرة، تم إغلاق الثغرة وإصلاح النظام. والمثير للسخرية هو أن الفيفا لم تكلف نفسها عناء إرسال رسالة شكر أو تقديم أي مكافأة للمخترقة التي أنقذت سمعة الاتحاد الدولي من كارثة محققة كانت ستكلفهم مئات الملايين من الدولارات لو وقعت في أيدي مجرمين إلكترونيين.
ما هي طبيعة الثغرة التي اكتشفت في نظام الفيفا؟
الثغرة كانت تتعلق بضعف في التحقق من رموز JWT (JSON Web Tokens). النظام كان يتحقق فقط على جانب المستخدم مما إذا كان الحساب يمتلك صلاحيات، بينما كانت الواجهات الخلفية (APIs) ترسل البيانات لأي مستخدم يطلبها دون التأكد من هويته أو دوره الفعلي.
ما هي الأضرار التي كان يمكن أن تحدث لو استغلت الثغرة بشكل سيء؟
كان بإمكان المخترق قطع البث المباشر عن العالم، أو عرض محتوى غير لائق لمئات الملايين، أو حتى التلاعب بنتائج المباريات والإحصائيات التي تظهر للمشاهدين، مما قد يسبب فوضى عارمة وخسائر مالية ضخمة للرعاة والقنوات الناقلة.
كيف تعاملت الفيفا مع المخترقة التي أبلغت عن الثغرة؟
للأسف، تجاهلت الفيفا كافة محاولات التواصل المباشرة من المخترقة. ولم يتم إصلاح الثغرة إلا بعد تدخل مكتب التحقيقات الفيدرالي، ولم تحصل المخترقة على أي مكافأة أو اعتراف رسمي بجهودها من قبل الاتحاد الدولي لكرة القدم.
هل لا تزال أنظمة الفيفا معرضة للخطر حالياً؟
تم إصلاح هذه الثغرة المحددة فوراً، ولكن الواقعة كشفت عن وجود فجوات في التفكير الأمني للأنظمة البرمجية الخاصة بهم، مما يستدعي مراجعة شاملة لكافة المنصات الرقمية المرتبطة ببطولة كأس العالم 2026 لضمان عدم تكرار مثل هذه الحوادث.
🔎 في الختام، تظل هذه الواقعة تذكيراً صارخاً بأن أضخم المؤسسات العالمية قد تنهار أمنياً بسبب أخطاء برمجية بسيطة. إن تجاهل الفيفا للمخترقين الأخلاقيين لا يعرض أنظمتها للخطر فحسب، بل يثبط عزيمة أولئك الذين يحاولون جعل الإنترنت مكاناً أكثر أماناً. يبقى السؤال: هل ستتعلم المؤسسات الكبرى الدرس قبل وقوع الكارثة القادمة؟
قم بالتعليق على الموضوع