16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według jej ustaleń problem mógł prowadzić do uzyskania dostępu do szeregu krytycznych systemów wykorzystywanych podczas organizacji i obsługi turnieju, w tym narzędzi związanych z transmisjami meczów. Warto więc przyjrzeć się, jak zwykłe konto użytkownika, pozbawione jakichkolwiek uprawnień, znalazło drogę do wewnętrznych aplikacji FIFA, jakie systemy znalazły się w zasięgu badaczki oraz jakie konsekwencje mogłoby mieć wykorzystanie tej luki przez atakującego.

Autor: 10 min czytania

FAP – FIFA Agent Platform

Cała historia zaczyna się od FIFA Agent Platform (FAP), czyli platformy przeznaczonej dla agentów piłkarskich współpracujących z FIFA. Każdy zainteresowany mógł założyć konto, przechodząc standardowy proces weryfikacji, obejmujący potwierdzenie tożsamości oraz adresu e-mail.

Po zakończeniu rejestracji użytkownik otrzymywał dostęp do platformy, a proces uwierzytelnienia realizowany był za pośrednictwem tenanta Microsoft Entra ID wykorzystywanego przez FIFA.

Rysunek 1 Wiadomość potwierdzająca rejestrację konta w FIFA Agent Platform. Źródło: Blog BobDaHacker

Co ciekawe, na dzień pisania tego artykułu na stronie FIFA Agent Platform widoczny jest komunikat informujący o tymczasowym wstrzymaniu rejestracji nowych kont. FIFA nie podała publicznie powodów tej decyzji, jednak jej pojawienie się niedługo po ujawnieniu całej historii z pewnością zwraca uwagę.

Rysunek 2 Komunikat informujący o wstrzymaniu rejestracji kont w FIFA Agent Platform. Źródło: FIFA

Odmowa dostępu

BobDaHacker postanowiła sprawdzić, jakie uprawnienia posiada w aplikacji FIFA Data Platform dostępnej pod adresem fdp.fifa.org. Po zalogowaniu została przywitana komunikatem informującym o braku przypisanych ról, a sama aplikacja nie pozwalała na wykonanie żadnej akcji. Z perspektywy użytkownika wszystko wyglądało więc prawidłowo.

Dalsza analiza ujawniła jednak interesujący szczegół. Za weryfikację uprawnień odpowiadała przede wszystkim logika zaimplementowana po stronie aplikacji webowej. Frontend analizował zawartość tokenu JWT użytkownika i w przypadku wykrycia znacznika NO_ROLES automatycznie blokował dostęp do funkcjonalności platformy.

Problem polegał na tym, że podobna kontrola nie była wykonywana przez część backendowych interfejsów API. Jak ustaliła później badaczka, żądania były obsługiwane wyłącznie na podstawie faktu, że użytkownik był poprawnie uwierzytelniony. W rezultacie aplikacja po stronie przeglądarki rozpoznawała konto jako pozbawione uprawnień, jednak backend nadal zwracał dane i informacje, do których użytkownik nie powinien mieć dostępu.

Jest to klasyczny przykład podatności z kategorii Broken Access Control, gdzie mechanizmy autoryzacji są implementowane lub egzekwowane w niewłaściwy sposób. W efekcie użytkownik może uzyskać dostęp do zasobów, które zgodnie z założeniami powinny pozostawać poza jego zasięgiem.

Streaming Management

Po pominięciu kontroli dostępu zaimplementowanej po stronie aplikacji webowej szybko okazało się, że problem nie ogranicza się do pojedynczego systemu. Lista dostępnych aplikacji była długa, jednak szczególne zainteresowanie wzbudził panel Streaming Management, odpowiedzialny za zarządzanie transmisjami Mistrzostw Świata 2026.

Rysunek 3 Panel Streaming Management prezentujący harmonogram transmisji oraz status produkcyjnych strumieni wykorzystywanych podczas Mistrzostw Świata 2026. Źródło: Blog BobDaHacker

Według BobDaHacker były to systemy produkcyjne obsługujące rzeczywiste transmisje turnieju. W panelu widoczne były wszystkie zaplanowane mecze wraz z informacjami wykorzystywanymi do realizacji transmisji.

Wśród dostępnych danych znajdowały się między innymi adresy RTMP ingest URL oraz powiązane z nimi klucze transmisji. Są to parametry wykorzystywane do dostarczania sygnału wideo do infrastruktury streamingowej odpowiedzialnej za dalszą dystrybucję transmisji.

Rysunek 4 Dane konfiguracyjne transmisji dostępne z poziomu panelu Streaming Management, obejmujące m.in. adresy ingest oraz parametry wykorzystywane przez infrastrukturę streamingową. Źródło: Blog BobDaHacker

Badaczka nie podjęła żadnych działań mogących wpłynąć na przebieg transmisji. Opublikowane zrzuty ekranu pokazują jednak, że uzyskany dostęp wykraczał daleko poza bierny podgląd danych. Zakres dostępnych funkcji sugeruje, że możliwe było m.in. zatrzymywanie wybranych transmisji oraz modyfikowanie parametrów wykorzystywanych podczas ich realizacji. W praktyce oznaczałoby to możliwość zakłócenia działania systemów odpowiedzialnych za dostarczanie obrazu podczas turnieju.

Rysunek 5 Komunikat oczekujący potwierdzenia zatrzymania strumienia transmisji wybranego meczu. Źródło: Blog BobDaHacker

Kolejne odkrycia

Streaming Management nie był jedynym systemem, do którego dostęp mógł mieć realny wpływ na relacjonowanie turnieju.

Rysunek 6 Podgląd transmisji, statystyk na żywo oraz dotychczasowego przebiegu meczu. Źródło: Blog BobDaHacker

Idąc dalej, BobDaHacker prezentuje między innymi możliwość zarządzania Commentator Information System, czyli systemem prezentującym dane w czasie rzeczywistym, używanym przez komentatorów rozgrywek. Z poziomu tego systemu można np. edytować lub dodawać nowe tzw. ciekawostki, które często są przytaczane przez komentatorów podczas meczu.

Kolejnym odkryciem był serwis Azure Function, udostępniający metadane oraz bezpośrednie odnośniki do plików przechowywanych w Azure Blob Storage. Wśród dostępnych dokumentów znajdowały się między innymi raporty transferowe, zestawienia statystyczne, dane dotyczące sędziów i trenerów oraz dokumenty zawierające informacje biznesowe FIFA. Podobnie jak w przypadku pozostałych systemów, dostęp do tych zasobów nie wymagał posiadania żadnych przypisanych ról.

Rysunek 7 Odpowiedź serwisu Azure Function zawierająca metadane oraz odnośniki do dokumentów przechowywanych w Azure Blob Storage. Źródło: Blog BobDaHacker

Biorąc pod uwagę skalę odkrytych problemów, otwartym pytaniem pozostaje, do jakich jeszcze systemów i danych mogły prowadzić podobne błędy autoryzacji obecne w innych aplikacjach FIFA.

Zgłoszenie wykrytej luki

Jak się później okazało, zgłoszenie całego problemu odpowiednim osobom było znacznie trudniejsze niż jego wykrycie.

FIFA nie posiada publicznego programu bug bounty, nie publikuje również pliku security.txt ani dedykowanego kanału kontaktowego dla badaczy bezpieczeństwa. Po potwierdzeniu swoich ustaleń BobDaHacker rozpoczęła próby kontaktu z FIFA, wykorzystując dostępne publicznie kanały komunikacji, takie jak adresy e-mail, numery telefonów czy kontakty znalezione w mediach społecznościowych.

Początkowe próby nie przyniosły rezultatu. Część wiadomości pozostała bez odpowiedzi, a w innych przypadkach osoby po drugiej stronie nie były w stanie pomóc w przekazaniu informacji o wykrytej luce. Sytuacji nie ułatwiał również fakt, że problem został odkryty w trakcie trwania turnieju, a część kontaktów była niedostępna poza standardowymi godzinami pracy.

Przełom nastąpił dopiero po nawiązaniu kontaktu z organizacjami, które mogły pomóc w przekazaniu informacji o wykrytej luce odpowiednim osobom. Wśród nich znalazł się między innymi MediaKind, partner technologiczny FIFA odpowiedzialny za rozwiązania streamingowe wykorzystywane podczas turnieju.

Autorka odkrycia skontaktowała się również z CISA (Cybersecurity and Infrastructure Security Agency). Jak opisuje na swoim blogu, zdecydowała się na ten krok po ustaleniu, że agencja pełni rolę federalnego koordynatora działań związanych z cyberbezpieczeństwem Mistrzostw Świata 2026 organizowanych na terenie Stanów Zjednoczonych.

Podjęta została także próba kontaktu z FBI poprzez nieoficjalny kanał komunikacji, do którego reasercherka miała dostęp dzięki wcześniejszym działaniom związanym z cyberbezpieczeństwem. Niedługo później odkryte problemy zaczęły znikać z kolejnych systemów, jednak FIFA nigdy nie odpowiedziała bezpośrednio na zgłoszenie ani nie potwierdziła jego otrzymania.

Podsumowanie

Opisana przez BobDaHacker historia pokazuje, że nawet organizacje odpowiedzialne za wydarzenia oglądane przez miliardy ludzi nie są odporne na podstawowe błędy bezpieczeństwa. W tym przypadku źródłem problemu nie była zaawansowana podatność zero-day ani skomplikowany łańcuch ataku, lecz brak odpowiedniej kontroli dostępu po stronie backendu.

Cała sytuacja jest również dobrym przypomnieniem różnicy pomiędzy uwierzytelnieniem a autoryzacją. FIFA poprawnie identyfikowała użytkownika i wiedziała, że nie powinien on posiadać żadnych uprawnień. Tyle że backend najwyraźniej o tych ograniczeniach „zapomniał”.

Choć ostatecznie luka została usunięta, trudno nie zastanawiać się, jak długo pozostawała niezauważona i czy wcześniej nie trafiła na nią osoba mniej skłonna do odpowiedzialnego zgłoszenia problemu. W tym przypadku cała historia zakończyła się szczęśliwie. Wystarczyło jednak zwykłe konto użytkownika, aby znaleźć się o krok od systemów wykorzystywanych podczas największego piłkarskiego wydarzenia na świecie.