Исследователь получил доступ к трансляциям FIFA через баг в Entra

Исследователь безопасности под псевдонимом BobDaHacker нашёл уязвимость в инфраструктуре FIFA во время чемпионата мира 2026 года. Точкой входа стал публичный портал для регистрации футбольных агентов agents.fifa.org. После регистрации система автоматически добавляла аккаунт пользователя в корпоративный тенант Microsoft Entra, используемый FIFA для всех внутренних платформ.

Клиентская часть платформы fdp.fifa.org проверяла JWT-токен на наличие ролей и при их отсутствии показывала страницу с отказом в доступе. Серверные API при этом никаких проверок не выполняли и отдавали данные любому аутентифицированному пользователю тенанта. Через эту брешь исследователь попал в панель управления потоковым вещанием без назначенных прав.

Панель содержала данные по всем матчам чемпионата: RTMP-адреса приёма сигнала, ключи потоков, превью-манифесты и HLS-манифесты для партнёров по вещанию. Каждый матч имел пять видеопотоков — основной, тактический и три камеры с разных позиций. Стриминговая инфраструктура была развёрнута у MediaKind, технологического партнёра FIFA по вещанию. Исследователь проверил один из превью-манифестов через медиаплеер и убедился, что ссылки ведут на живое видео с активных матчей. Помимо просмотра, панель позволяла запускать, останавливать и планировать потоки для каждого матча и каждой камеры.

Тот же аккаунт без ролей открывал доступ к системе информирования комментаторов cis.fifa.org. Она содержала данные, которые используются в прямом эфире: составы, тактические карточки, статистику игроков и редакционные заметки к матчам. На вкладке управления матчами платформы fdp.fifa.org были доступны операции записи: изменение счёта и статистики, корректировка времени начала матча, публикация тактических составов и редакционных материалов. Сервер принимал эти запросы от аккаунта без ролей. Дополнительно исследователь нашёл Azure Function App, который без проверки прав возвращал прямые ссылки на скачивание 23 внутренних файлов FIFA из облачного хранилища, включая трансферные отчёты и финансовые данные.

У FIFA не было ни программы bug bounty, ни политики ответственного раскрытия уязвимостей, ни опубликованных контактов по безопасности. Исследователь написал на несколько адресов электронной почты FIFA — часть писем вернулась с ошибкой, остальные остались без ответа. Руководитель направления футбольных технологий и данных FIFA Себастьян Рунге не ответил на сообщение в мессенджере. Звонки в штаб-квартиру FIFA в Цюрихе и на медиалинию организации не дали результата — оба номера не работали в выходной день. Звонок в конференц-центр в Далласе, где располагался Международный вещательный центр, перешёл на автоответчик.

Связаться удалось через компанию MediaKind: сотрудник компании ответил на звонок и попросил прислать детали с подтверждающими материалами. Параллельно исследователь позвонил в Агентство по кибербезопасности и защите инфраструктуры США, отвечающее за кибербезопасность чемпионата мира 2026 года. Также исследователь уведомил ФБР через защищённый мессенджер. На следующий день уязвимость закрыли: сервер начал возвращать код 403 на запросы от аккаунтов без ролей, но в FIFA исследователю так и не ответили.