FIFA平臺後端漏洞能讓駭客免費播放世界盃賽事、置換影像、修改比分

名為BobDaHacker的研究人員指出，漏洞出在FIFA後臺的身分與授權機制設計錯誤，使未經授權的人員得以登入內部系統，存取賽事串流影像管理介面。

研究人員先是在FIFA足球經紀人（FIFA Agent）網站，申請成為足球經紀人。完成身分驗證後，其帳號就會被自動加入FIFA網站同一個Microsoft Entra租戶，一旦成為FIFA Entra租戶（tenant）成員，就能向其他FIFA內部系統登入。這些系統理應進行身分驗證；FIFA網站的前端App會檢查JWT裡的非授權角色（NO_ROLES）標記。一經查到就會阻斷存取。但研究人員發現，後端API未做任何檢查。

最後研究人員得以存取FIFA的串流管理控制臺（Streaming Management panel）及轉播員資訊系統。藉此他可以讀取每一場賽事的實況轉播影像，甚至每個（共5個）攝影機角度，以及控制串流（如啟動／暫停／排程）或其他操作功能，或編輯賽事資訊。

研究人員從所在地東京的電腦上，成功測試串流足球賽事。由於獲得串流管理平臺的存取權，攻擊者甚至可能劫持攝影機，或在賽事影像串流到各大電視網前加以置換。研究人員還說，若駭客成功進入轉播員資訊系統，編輯轉播員講稿、傳送球員出賽資料、以及改寫比分和賽事統計，這些資料會送入轉播講評員資訊系統，並顯示在電視直播畫面。

除了FIFA系統驗證設計不良，官方回應漏洞的態度更令研究人員不滿。FIFA沒有公開的資安通報管道，他寄給十多個FIFA信箱及打了多通電話皆石沉大海，最後他還聯絡了CISA及FBI等外部機構。第二天FIFA數小時後悄悄修補好漏洞，但沒有任何聯繫。