安全研究员用一张身份证注册FIFA经纪人,获得世界杯直播流和后台的完整控制权。
2026年FIFA世界杯进行期间,一位安全研究员发现了一个令人瞠目的漏洞。入口简单到荒谬:在FIFA公开的经纪人平台上用一张身份证免费注册。注册后用户即被添加到FIFA的微软Entra企业租户中,而这个租户管理着世界杯的全部内部系统。
真正的悲剧在于一个教科书级的架构缺陷:前端使用Angular等框架做客户端权限校验,弹出"拒绝访问"提示,但后端API仅验证用户是否属于该租户,完全不检查角色权限。研究员用一个NO_ROLES零权限账户,直接访问到了赛事直播管理面板,每场比赛包含全部五路摄像机信号(主转播画面、战术机位和三路辅助机位)的RTMP推流地址、预览清单和流密钥。
更惊人的是,五路摄像机共享同一个流密钥。任何掌握该密钥的人都可以向RTMP端点推送任意视频,替换主转播画面,使全球数十亿观众看到的是攻击者推送的任何内容而非比赛实况。研究员还发现后台完全接受NO_ROLES账户的写操作:可以修改比赛记录、编辑评论员笔记、调整开球时间、操作战术数据面板。
除了直播管理面板,研究员还发现多个其他内部系统同样脆弱。评论员信息系统(cis.fifa.org)是一个实时仪表板,向全球转播评论员推送球员位置、阵型数据、实时统计和换人时间线,也被同一个零权限账户穿透。一个Azure开发环境暴露了23份内部文件的直接下载链接,包括转会报告、收入数据、裁判统计和一份名为"Debbie.xlsx"的Excel文件。研究员的报告时间线颇具黑色幽默:他先向十余个FIFA邮件地址发信,五封退回其余石沉大海;WhatsApp联系FIFA足球科技与数据主管无回应;致电苏黎世总部和达拉斯转播中心因时差无人接听;最终通过CISA和FBI的既有联系人渠道才将报告送达。FIFA次日修复,但从未正式致谢或讨论漏洞赏金。
FIFA没有漏洞披露计划,没有security.txt文件,公开的十个以上联系方式全部无人回应。研究员最终通过美国网络安全局(CISA)和联邦调查局(FBI)才将漏洞报告送达。FIFA在次日完成修复,但自始至终未做任何回应或致谢。Entra的权限管理功能完全足以阻止这次攻击,但FIFA的IT团队从未在部署流程中执行过最小权限原则的审核。这个世界上不乏安全的系统,但缺乏安全地配置系统的人和文化。
从云安全治理的专业视角来看,FIFA事件的根因可以追溯到零信任架构在非科技组织中的推广严重滞后这一业界公认却长期未获重视的问题。微软Entra本身支持完善的角色访问控制,但这些功能默认不开启,需要客户IT团队根据场景定制配置和定期审计。在一个将IT视为纯成本中心而非核心能力的组织中,这类安全配置往往被无限期搁置,直到被一次公开的漏洞所唤醒。
原文:https://bobdahacker.com/blog/fifa-hack