**Хакер зламав трансляції ЧС-2026 через вразливість FIFA**
Хакер отримав доступ до трансляцій ЧС-2026 через вразливість у системі FIFA
Поки мільярди вболівальників стежили за першими матчами Чемпіонату світу з футболу 2026, дослідник кібербезпеки під псевдонімом BobDaHacker спостерігав за подіями з іншого боку — через внутрішню панель управління трансляціями FIFA. Він зареєструвався як футбольний агент на офіційній платформі організації та виявив критичну вразливість у бекенд-API, що відкрила доступ до кількох внутрішніх систем.
Серед них — інструменти, які дозволяють мовникам контролювати те, що бачать глядачі на екранах по всьому світу, а також дані, доступні коментаторам під час прямих трансляцій.
«Один зловмисник міг би одночасно захопити всі камери. Він міг би влаштувати "рікрол" усього чемпіонату світу. Або транслювати Subway Surfers — у прямому ефірі, на кожному телеканалі світу під час активного матчу», — зазначив BobDaHacker у своєму блозі.
Технічні деталі вразливості
Проблема полягала в класичній помилці безпеки, відомій як Broken Object Level Authorization (BOLA). Фронтенд внутрішніх застосунків FIFA перевіряв JWT-токени на наявність необхідних ролей і блокував доступ до сторінок у разі їх відсутності. Однак бекенд-API не проводив жодних перевірок авторизації — він просто надавав дані будь-якому автентифікованому користувачеві.
Цей тип вразливостей входить до OWASP API Security Top 10 і вважається однією з найпоширеніших загроз. Попри простоту виявлення, така помилка залишалася в системі, яка управляє однією з найбільш рейтингових спортивних подій у світі.
Що було доступно та наскільки це небезпечно
Панель управління трансляціями містила повний перелік матчів ЧС-2026 разом із RTMP-посиланнями для інгесту — прямими адресами відеопотоків з камер стадіонів до серверів FIFA та мовників. Кожна з п’яти камерних точок кожного матчу, включно з головним програмним виходом (PGM), мала окремий ключ потоку в URL. Це означало, що будь-хто з доступом до цих посилань міг замінити відеопотік стадіонної камери на довільний контент.
Окрім трансляційної панелі, дослідник отримав доступ до системи для коментаторів, яка містила:
- тактичний огляд з позиціями гравців та формаціями;
- живу статистику матчів;
- таймлайн замін;
- підготовлені тізерами та цікавими фактами для коментування.
Також були доступні панель управління матчами, де можна було змінити час і рахунок, та 23 внутрішні файли через Azure Blob Storage.
Як було усунено проблему
«Те, що у FIFA немає security.txt, політики розкриття вразливостей, програми bug bounty і взагалі жодного способу зв’язатися з ними — говорить само за себе», — зазначив BobDaHacker.
Оскільки офіційні канали зв’язку були відсутні, дослідник звернувся до CISA (Агентство з кібербезпеки та захисту інфраструктури США) та ФБР. CISA є федеральним координатором кібербезпеки ЧС-2026, включаючи системи трансляцій. Після повідомлення вразливість була усунута наступного ранку — FIFA виправила проблему за кілька годин, але так і не підтвердила отримання звіту.
Цікавий факт: розробники FIFA не видалили адресу BobDaHacker з розсилки платформи, тому він досі отримує офіційні тактичні схеми, стартові склади та звіти після матчів ЧС-2026 чотирма мовами.
На тлі цього інциденту стає зрозумілою реальність загроз, про які попереджала іранська хакерська група Handala, погрожуючи атаками на інфраструктуру турніру. Якби не відповідальний підхід дослідника, наслідки могли б бути катастрофічними.
