一位安全研究员意外发现,只需在 FIFA 官网注册一个足球经纪人账号,就能绕过授权直接访问 2026 年世界杯的流媒体管理后台。
漏洞如何被发现
这位研究员在注册 FIFA Agent Platform(FAP)时发现,自己的账号被自动加入了 FIFA 的 Microsoft Entra 租户——而这个租户同时管理着 FIFA 所有内部平台。他尝试访问 fdp.fifa.org(FIFA 足球数据平台),前端页面显示「无权限」,但这只是客户端的判断,后端 API 根本没有验证用户角色。他凭一个没有任何角色的账号,直接进入了 Streaming Management(流媒体管理)面板。
生产环境的完整控制权
面板里列出的是货真价实的世界杯直播控制选项。他打开一条预览链接,VLC 直接播放了一场正在进行的比赛画面——赛场摄像头→RTMP 推流地址→MediaKind 媒体服务器→广播合作方→电视观众,这条完整的传输链路完全暴露。每场比赛有 5 个机位(主输出、战术机位、以及三个高视角机位),所有机位的推流密钥都直接写在 URL 里。更关键的是,面板提供了完整的启动、停止和定时控制——理论上,只要点一下按钮,就能切断任意机位的直播信号。
他还发现,管理后台实际上可以写入数据:更新实时比分、编辑球员统计数据、修改首发阵容、调整开球时间等操作,后端均接受来自这个无角色账号的请求。
影响范围
该账号还能够访问赛事管理、数据分析、评论员信息系统、FIFA AI Pro 以及管理员面板等全套模块。由于 RTMP 推流地址和密钥完全公开,任何持有 URL 的人理论上可以将自定义视频内容注入直播信号,替换任意机位画面。
后续处理
这位研究员在东京凌晨三点分别联系了 FIFA、其流媒体技术合作方 MediaKind、赛事转播方 HBS、美国网络安全与基础设施安全局(CISA)以及 FBI。漏洞最终被修复,但期间从未有人与他直接沟通确认。
编注:信源为安全研究人员个人博客,记录漏洞发现与上报过程;核心事实为授权绕过机制与流媒体控制面板暴露,漏洞已修复但厂商未直接回应。