Het streamingplatform van de FIFA voor het WK Voetbal voor mannen 2026 maakte het mogelijk de streams te bekijken en over te nemen zonder authenticatie op de server. Een beveiligingsonderzoeker kreeg toegang zonder rechten te hebben.
Beveiligingsonderzoeker BobDaHacker registreerde zich bij het FIFA Agent-platform, wat werkte zonder controle of hij echt voetbalagent was. Bij het benaderen van de backend voor het dataportal van het WK Voetbal voor mannen bleek dat het platform alleen een clientside-check deed op de rol in Entra, het Microsoft-platform voor authenticatie. Daardoor was dat makkelijk te raadplegen, schrijft BobDaHacker.
Vervolgens kreeg de beveiligingsonderzoeker toegang tot het Streaming Management-platform, waarop alle streams staan van alle camera's in een stadion. Die waren per wedstrijd gegroepeerd, met daarbij onder meer de RTMP-URL waar de stream heen gaat, een preview-URL om de stream te bekijken en de HLS-stream voor omroepen.
Aan het einde bleek een UUID te staan die hetzelfde is voor elke stream, wat erop wijst dat de FIFA voor elke stream dezelfde sleutel gebruikte. Hij kon de streams stoppen of wijzigen naar een eigen videofeed. Ook kon hij live tijdens de wedstrijd statistieken en feitjes voor commentatoren inzien en wijzigen.
Omdat de FIFA geen manier heeft om dit te rapporteren, heeft de beveiligingsonderzoeker onder meer de FBI benaderd. De kwetsbaarheid bleek een dag later verholpen en intussen hebben ongeautoriseerde gebruikers niet langer toegang om streams te stoppen of statistieken aan te passen. De FIFA heeft niet openbaar gereageerd op de zaak. Of kwaadwillenden hier misbruik van hebben gemaakt, is onbekend.
Source: Tweakers.net