2026 年世界杯期间,当全世界数十亿观众沉浸在赛场的激情中时,全球最顶级的赛事直播链条其实正悬于一线。安全研究员 BobDaHacker 近日通过其个人博客详细披露了一场发生在东京时间凌晨 3 点的“安全噩梦”。他发现,FIFA(国际足联)内部多个关键生产系统存在极其严重的权限验证漏洞,任何普通用户只要通过官方公开渠道注册,就有可能“劫持”世界杯的实时直播信号。
这场安全危机的源头在于一个名为“FIFA 足球经纪人平台”(FIFA Agent Platform,简称 FAP)的公共门户。根据 BobDaHacker 的描述,该平台允许任何人提交身份证件并申请成为执业经纪人。然而,技术层面的致命失误在于,一旦用户在该平台完成注册,FIFA 会自动将该账户添加到其 Microsoft Entra(原 Azure AD)租户中。由于该租户是 FIFA 内部所有办公和管理平台的共享基础,注册用户实际上已经拿到了进入 FIFA 内部网络的“门禁卡”。
从技术细节来看,这不仅是一次配置失误,更是一次典型的“前端权限绕过”案例。研究员在尝试访问 FIFA 足球数据平台(fdp.fifa.org)时发现,虽然前端 Angular 应用会检查 JWT 令牌并因为“无角色”而显示“访问被拒绝”,但其后端 API 却完全不进行鉴权。这意味着,只要攻击者绕过前端界面的阻拦,直接与后端 API 通信,就能获取到本应严密保护的生产数据。
后果是灾难性的。BobDaHacker 成功进入了直播管理面板,那里清晰地列出了 2026 年世界杯每一场比赛的实时控制选项。他不仅能看到所有比赛的 5 个摄像机机位(包括 PGM 主画面、战术视角、高位视角等)的实时预览流,甚至直接获取了 RTMP 推流地址和流密钥(Stream Key)。
这些 RTMP 地址是体育场摄像机连接到 FIFA 直播合作伙伴 MediaKind 的物理管道。BobDaHacker 在博文中直言:“这意味着我可以在 VLC 播放器中实时观看比赛,甚至具备将直播画面替换为任何内容的潜力。如果我愿意,我可以让全球电视转播信号瞬间变成‘Rickroll’视频或《地铁跑酷》的游戏画面。”
除了直播控制权,该漏洞还涉及了 FIFA 足球数据平台(FDP)和评论员信息系统(CIS)。研究员发现自己拥有“写入权限”,可以实时修改比赛统计数据、调整战术阵容,甚至编辑全球评论员正在阅读的实时新闻简报。此外,一个暴露的 Azure 函数应用还泄露了包括转会报告、财务对比等 23 个内部敏感文件的下载链接。
在发现漏洞后,BobDaHacker 经历了一个极其煎熬的夜晚。由于 FIFA 没有任何公开的漏洞提交政策(VDP),他不得不通过 LinkedIn 私信高管、拨打瑞士总部及达拉斯国际广播中心(IBC)的客服电话,甚至联络了 MediaKind、Host Broadcast Services (HBS) 以及美国网络安全与基础设施安全局(CISA)和 FBI。最终,在 CISA 和 FBI 的介入下,FIFA 才在几个小时内紧急修复了该漏洞。
尽管漏洞已在发现次日闭环,但 FIFA 至今未对该研究员做出任何官方回应或致谢。这一事件再次给全球大型体育赛事的技术支撑团队敲响了警钟:在 2026 年,单纯依赖前端验证而忽视后端 API 鉴权的架构设计,无异于在金库大门上挂一把塑料锁。
本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️