一位普通用户在国际足联官网注册足球经纪人资格后,被自动加入 FIFA 统一身份系统。随后,他发现自己可以访问多个内部平台,包括 2026 世界杯的转播管理系统,并看到了比赛直播流、推流地址、推流密钥以及部分直播管理功能。@Appinn
这个故事再次验证:全世界都是草台班子!
故事发生 bobdahacker 的博客里,感兴趣的同学可以看看原文。以下内容改编自该博客内容。
插播开始
一个世界杯订阅日历::https://f.appinn.com/fifa-world-cup-2026.zh.ics
小米、OPPO 兼容地址:https://f.appinn.com/fifa-world-cup-2026.compat.ics
带进球、国旗,更新更快赞助版本:https://kutt.appinn.com/fifa2026
效果如下:
插播结束
注册国际足联足球经纪人资格
事情的起因非常简单,作者在国际足联的足球经纪人平台(agents.fifa.org)注册账号,准备申请足球经纪人资格。
按照要求上传身份证、完成验证。在经过了三次上传证件和自拍(身份证照片光线不符合要求),才审理通过审核。
作者收到确认邮件,获得了一个普通的经纪人平台注册账号。
被加入 FIFA 统一身份系统
注册完成后,作者发现自己的账号被加入了 FIFA 的 Microsoft Entra 租户。
这并不是单独服务于经纪人平台的账号系统,而是 FIFA 多个内部平台共用的统一身份系统。
一个看起来正常的拒绝页面
随后,作者访问了另一个 FIFA 网站(fdp.fifa.org),页面提示:你没有被分配任何权限。
至此,看起来一切正常。普通用户访问内部系统,被拒绝访问,本来就应该如此。
但进一步检查后,他发现这个权限判断只存在于网页前端:前端显示“无权限访问”,后端却返回了真实数据!
欢迎进入世界杯转播系统
绕过客户端保护后,他进入了流媒体管理面板。作者说他惊掉了下巴:
因为他看到了:2026 年国际足联世界杯的每一场比赛。带流媒体控制功能。
这不是测试,这是正在使用的 2026 年国际足联世界杯转播管理后台:每场比赛、每个摄像机角度、每个 RTMP 推流 URL、每个推流密钥。
每场比赛都对应多个机位,包括主转播画面、战术镜头以及高位机位。
更关键的是,每个机位后面都挂着完整的推流信息,包括推流地址、推流密钥和预览链接。
这些流媒体信息由国际足联的流媒体技术合作伙伴 MediaKind 托管,这些端点接收来自美国、墨西哥和加拿大各地体育场的实时摄像机信号。
真·实时信号
为了测试,作者用 VLC 播放器打开了推流地址:
这是一场正在进行的 2026 年世界杯足球赛的实时战术摄像机画面。作者在东京,使用 VLC 播放。
作者立刻关掉了播放器,不过看到画面的那一刻,他已经意识到事情有多离谱。任何知道该 URL 的人,都可以访问这些实时画面。
不止是播放画面,还能控制播放
这不仅仅是读取权限。流媒体管理面板具有全面的控制功能。包括开始、停止、计划,以及每场比赛每个摄像机角度。
是的,你甚至可以在比赛开始的时候,停掉直播信号…
还能劫持每一台摄像机
如果一位攻击者获得了这个权限,他甚至能替换掉画面,同时劫持所有摄像机!
作者原话:「攻击者可以撬动整个国际足联世界杯。或者玩 “地铁冲浪 “游戏。现场直播在全球所有电视网络上在正在进行的比赛中」
还没完…这可能是最离谱的
除了画面,竞赛、比赛、球队、工具、交流平台、分析仪表板、评论员信息系统、FIFA AI Pro、管理员都可以访问:
该平台还有一个完整的比赛直播仪表板,内嵌视频播放器、实时赛事时间轴和比赛官员数据:
科特迪瓦 vs 厄瓜多尔,现场直播。嵌入式视频、黄牌时间表、比赛官员。直播 “徽章不是装饰性的。
实时控球、尝试创建分解、球回收时机、覆盖距离以及 FIFA AI Pro 集成
连比赛数据也能修改
部分系统甚至提供编辑功能,包括比赛统计数据、评论内容、阵容信息以及其他赛事数据。
出席人数、控球率、赛后统计、球队注册统计、分析完成、比分和统计、调整开球时刻、表现数据、发送战术阵容、赛事入口详情
总结一下,攻击者可以修改:
- 编辑评论说明并将其发布到广播系统中
- 调整正式开球时刻
- 发送战术阵容数据
- 更改比分和比赛统计
这些数据将输入解说员信息系统,并在电视直播中显示。
评论员信息系统
这也是个有趣的信息,解说员可以在比赛中访问到这个页面:
2026 年国际足联世界杯仪表盘。即时比分、即将举行的比赛、比赛结果。
科特迪瓦 vs 厄瓜多尔,第 75 分钟。全面战术视图,包括球员位置、阵型、实时数据、换人时间表和球队数据。
当解说员说 “有趣的事实是,36 岁零 222 天的恩纳-瓦伦西亚是代表厄瓜多尔参加世界杯的最年长的外场球员”
作者的账户可以看到为每场比赛准备的每一篇社论、每一套赛前统计资料和每一个话题。
…
还有额外暴露的开发环境
作者还发现一个公开暴露的 Azure 开发环境,其中保存着多个内部文件。包括转会报告、收入比较、董事会代表数据、裁判和教练统计数据,以及 Debbie.xlsx 文件
向国际足联报告漏洞才是噩梦
发现问题后,作者开始联系国际足联…
- 尝试 1:5封电子邮件:没有回应
- 尝试 2:WhatsApp:国际足联技术与数据主管,没有回复。
- 尝试 3:国际足联总部电话:致电 +41 43 222 7777 已关机。
- 尝试 4:国际足联媒体热线:致电 +41 43 222 7272 也已关闭。
- 尝试 5:达拉斯会议中心:致电IBC(国际广播中心),收到语音信箱,留了言。
- 尝试 6:拨打 MediaKind(FIFA转播技术提供商)电话,有人接,他们立即明白了问题所在,作者通过电子邮件发送详细资料,并附上流密钥作为证据。
- 尝试 7:致电HBS(主机广播服务),他们说没有人可以帮忙。
- 尝试 8:致电Infront Sports & Media(HBS 的母公司),无人接听。
- 尝试 9:致电CISA(网络安全和基础设施安全局,世界杯网络安全牵头机构),接听了电话,依旧要求通过电子邮件提供详细信息
- 尝试 10:联邦调查局:作者有熟人,通过 Signal 给他们发了消息。他们回复说他们有联系人,需要转发信息
猜测,有效的沟通是 MediaKind 和 CISA。
第二天漏洞被修复
第二天,相关漏洞被修复。原本能够访问的接口开始返回真正的 403 权限错误。
国际足联没有公开回应此事,也没有向作者发送任何正式回复。
但至少,他们终于把门锁上了。
