Поки мільярди людей дивились перші матчі ЧС-2026, дослідник з кібербезпеки під псевдонімом BobDaHacker сидів у Токіо і дивилась їх по-інакшому — через внутрішню панель управління трансляціями FIFA. Він просто зареєструвався як футбольний агент на офіційній платформі FIFA для агентів — і завдяки вразливості у бекенд-API організації отримав доступ до кількох внутрішніх систем FIFA. Серед них — система, що дозволяє мовникам контролювати, що бачать глядачі на екранах по всьому світу і що бачать коментатори під час прямих трансляцій.
“Один зловмисник міг би одночасно захопити всі камери. Зловмисник міг би зробити “рікрол” усього чемпіонату світу FIFA. Або поставити Subway Surfers. В прямому ефірі. На кожному телеканалі світу. Під час активного матчу,” — написав BobDaHacker у своєму блозі.
Що сталося технічно?
Технічна суть вразливості проста і водночас знаменита в кіберспільноті як один з найпоширеніших типів помилок. Фронтенди внутрішніх застосунків FIFA перевіряли JWT-токен на наявність ролей і показували сторінку “доступ заборонено”. Але бекенд-API взагалі не перевіряв авторизацію — і просто видавав будь-які дані будь-якому автентифікованому користувачу тенанту.
Цей клас вразливостей — Broken Object Level Authorization, або BOLA — стабільно входить до топу OWASP API Security Top 10. Це не екзотична атака. Це не складна техніка. Це те, що має виявляти будь-який базовий аудит безпеки ще до запуску. Проте саме ця помилка сиділа в системі, що управляє однією з найбільш переглядуваних живих подій в історії людства.
Що саме було доступно — і наскільки це небезпечно
Панель управління трансляціями містила повний список всіх матчів ЧС-2026 разом з RTMP-посиланнями для інгесту — тобто прямими посиланнями на відеопотоки з камер стадіонів до серверів FIFA і далі до мовників по всьому світу. Кожна з п’яти камерних точок кожного матчу — включно з головним програмним виходом PGM — мала окремий ключ потоку прямо у URL. Це означало: будь-хто з цим посиланням міг замінити відеопотік стадіонної камери на будь-який інший контент.
Крім трансляційної панелі, BobDaHacker отримав доступ до системи для коментаторів — повний тактичний вид з позиціями гравців, формаціями, живою статистикою, таймлайном замін і підготовленими тізерами до кожного матчу. Коли коментатор говорить “цікавий факт: Хакімі встановив рекорд за кількістю передач у групі” — ці дані беруться саме звідти. Плюс — панель управління матчами, де можна було змінити час і рахунок. І ще 23 внутрішніх файли через Azure Blob Storage.
Читайте также: “Quake зламав нас морально”: id Software, творці легендарного шутера розкрили правду про розробку
FIFA не відповіла — довелось телефонувати в ФБР
“Той факт, що у FIFA немає security.txt, немає політики розкриття вразливостей, немає програми bug bounty і взагалі немає жодного способу зв’язатись з ними — говорить сам за себе,” — написав BobDaHacker. — “Мені довелося телефонувати в CISA і ФБР, бо FIFA зробила звернення до них неможливим.”
CISA — агентство з кібербезпеки і захисту інфраструктури США — є федеральним лідером кібербезпеки ЧС-2026, включно з системами трансляцій. Після дзвінка в CISA і повідомлення ФБР вразливість закрили наступного ранку — FIFA виправила проблему за кілька годин, але так і не підтвердила отримання звіту дослідника.
Є ще один курйозний постскриптум: розробники FIFA забули видалити адресу BobDaHacker з розсилки платформи — і він досі отримує офіційні тактичні схеми, стартові склади і звіти після матчів ЧС-2026 у чотирьох мовах. Іранська хакерська група Handala також погрожувала атаками на інфраструктуру турніру — і на тлі цього кейсу стає зрозуміло, наскільки реальними могли бути ці загрози, якби FIFA не зустріла відповідального дослідника.
Джерело: TechCrunch
