Eu Poderia Ter Hackeado Toda a Copa do Mundo da FIFA
Um pesquisador de segurança descobriu uma falha crítica na plataforma da FIFA que permitia o controle total das transmissões da Copa do Mundo. A vulnerabilidade, decorrente de uma autorização mal implementada no lado do cliente, expôs dados sensíveis e a capacidade de manipular o conteúdo transmitido.
MundiX News·26 de junho de 2026·8 min de leitura·👁 1 views
A jornada para expor uma falha de segurança significativa na infraestrutura da FIFA começou de forma surpreendentemente simples: o registro em sua plataforma oficial de agentes de futebol. Ao se inscrever na FIFA Agent Platform, o pesquisador descobriu que seu novo usuário era adicionado ao mesmo tenant do Microsoft Entra ID (anteriormente Azure AD) que gerencia todas as plataformas internas da FIFA. Essa integração, embora parecesse um procedimento padrão, abriu as portas para um acesso inesperado e perigoso.
Após um registro bem-sucedido, a tentativa de acessar a FIFA Football Data Platform (fdp.fifa.org) resultou em uma mensagem de "acesso negado". No entanto, a análise revelou que essa verificação de permissões ocorria inteiramente no lado do cliente. O aplicativo Angular verificava um token JWT em busca de um marcador NO_ROLES, mas o backend da API, por sua vez, não realizava nenhuma validação, simplesmente enviando os dados solicitados. Essa falha na autorização do lado do cliente permitiu que o pesquisador contornasse a restrição aparente e acessasse a Streaming Management Panel.
Dentro da Streaming Management Panel, o cenário era alarmante: acesso total a todos os jogos da Copa do Mundo FIFA de 2026, com controle sobre o gerenciamento de streaming. Não se tratava de um ambiente de teste, mas sim da produção. Cada partida, cada ângulo de câmera, cada URL de ingestão RTMP e cada chave de stream estavam expostos. O pesquisador pôde visualizar os fluxos de vídeo em tempo real através de URLs de pré-visualização e, mais preocupante ainda, possuía a capacidade de iniciar e encerrar transmissões, planejar eventos e até mesmo substituir o fluxo de vídeo principal. A infraestrutura de streaming, hospedada pela MediaKind, parceira da FIFA, era o ponto central dessa vulnerabilidade. A possibilidade de injetar conteúdo malicioso, como um Rickroll ou gameplay de Subway Surfers, em todas as transmissões globais era real, bastando enviar um fluxo para os endpoints RTMP com a chave de stream exposta.
O impacto dessa falha ia além do controle de streaming. O mesmo acesso NO_ROLES concedia visibilidade e controle sobre toda a plataforma da FIFA, incluindo competições, partidas, equipes, ferramentas, a Exchange Platform, dashboards de análise, sistemas de informação para comentaristas, FIFA AI Pro e a área administrativa. Um dashboard de transmissão de partidas exibia informações em tempo real, com um player de vídeo integrado, cronologia de eventos e dados das equipes. A aba "Management" do fdp.fifa.org permitia operações de escrita, como a edição de comentários, ajuste do tempo oficial da partida, envio de dados táticos e alteração de placares e estatísticas. Esses dados eram transmitidos para a Commentator Information System (cis.fifa.org), utilizada pelos comentaristas em tempo real. O pesquisador também descobriu uma Azure Function App exposta que fornecia metadados e URLs para download direto de 23 arquivos internos da FIFA do Azure Blob Storage, incluindo relatórios de transferências e estatísticas de jogadores e treinadores, tudo sem verificação de permissões.
A tentativa de reportar a vulnerabilidade foi um processo frustrante e demorado. Sem um programa de bug bounty, security.txt ou contatos de segurança públicos, o pesquisador recorreu a múltiplos canais: e-mails para diversos endereços da FIFA, mensagens no WhatsApp para um executivo sênior, ligações para o escritório principal da FIFA, linhas de mídia, o centro de transmissão em Dallas e até mesmo para a CISA (Cybersecurity and Infrastructure Security Agency) e o FBI. Foi somente através de um contato com a MediaKind e, posteriormente, com a CISA e o FBI, que a FIFA foi efetivamente notificada. A falha foi corrigida rapidamente na manhã seguinte, mas a FIFA não ofereceu nenhuma resposta, agradecimento ou recompensa ao pesquisador, embora o tenha mantido em sua lista de e-mails da FDP, enviando documentos oficiais de partidas.
A causa raiz identificada foi a arquitetura de autorização no lado do cliente sem validação no servidor. Essa falha permitia que qualquer usuário autenticado no tenant da FIFA, mesmo sem as devidas permissões de role, acessasse e manipulasse dados sensíveis e funcionalidades críticas. A FIFA foi aconselhada a implementar um arquivo security.txt, publicar uma Vulnerability Disclosure Policy (VDP), abandonar a autorização no lado do cliente e estabelecer um programa de bug bounty para incentivar a descoberta e o reporte responsável de vulnerabilidades.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A jornada para expor uma falha de segurança significativa na infraestrutura da FIFA começou de forma surpreendentemente simples: o registro em sua plataforma oficial de agentes de futebol. Ao se inscrever na FIFA Agent Platform, o pesquisador descobriu que seu novo usuário era adicionado ao mesmo tenant do Microsoft Entra ID (anteriormente Azure AD) que gerencia todas as plataformas internas da FIFA. Essa integração, embora parecesse um procedimento padrão, abriu as portas para um acesso inesperado e perigoso.
Após um registro bem-sucedido, a tentativa de acessar a FIFA Football Data Platform (fdp.fifa.org) resultou em uma mensagem de "acesso negado". No entanto, a análise revelou que essa verificação de permissões ocorria inteiramente no lado do cliente. O aplicativo Angular verificava um token JWT em busca de um marcador NO_ROLES, mas o backend da API, por sua vez, não realizava nenhuma validação, simplesmente enviando os dados solicitados. Essa falha na autorização do lado do cliente permitiu que o pesquisador contornasse a restrição aparente e acessasse a Streaming Management Panel.
Dentro da Streaming Management Panel, o cenário era alarmante: acesso total a todos os jogos da Copa do Mundo FIFA de 2026, com controle sobre o gerenciamento de streaming. Não se tratava de um ambiente de teste, mas sim da produção. Cada partida, cada ângulo de câmera, cada URL de ingestão RTMP e cada chave de stream estavam expostos. O pesquisador pôde visualizar os fluxos de vídeo em tempo real através de URLs de pré-visualização e, mais preocupante ainda, possuía a capacidade de iniciar e encerrar transmissões, planejar eventos e até mesmo substituir o fluxo de vídeo principal. A infraestrutura de streaming, hospedada pela MediaKind, parceira da FIFA, era o ponto central dessa vulnerabilidade. A possibilidade de injetar conteúdo malicioso, como um Rickroll ou gameplay de Subway Surfers, em todas as transmissões globais era real, bastando enviar um fluxo para os endpoints RTMP com a chave de stream exposta.
O impacto dessa falha ia além do controle de streaming. O mesmo acesso NO_ROLES concedia visibilidade e controle sobre toda a plataforma da FIFA, incluindo competições, partidas, equipes, ferramentas, a Exchange Platform, dashboards de análise, sistemas de informação para comentaristas, FIFA AI Pro e a área administrativa. Um dashboard de transmissão de partidas exibia informações em tempo real, com um player de vídeo integrado, cronologia de eventos e dados das equipes. A aba "Management" do fdp.fifa.org permitia operações de escrita, como a edição de comentários, ajuste do tempo oficial da partida, envio de dados táticos e alteração de placares e estatísticas. Esses dados eram transmitidos para a Commentator Information System (cis.fifa.org), utilizada pelos comentaristas em tempo real. O pesquisador também descobriu uma Azure Function App exposta que fornecia metadados e URLs para download direto de 23 arquivos internos da FIFA do Azure Blob Storage, incluindo relatórios de transferências e estatísticas de jogadores e treinadores, tudo sem verificação de permissões.
A tentativa de reportar a vulnerabilidade foi um processo frustrante e demorado. Sem um programa de bug bounty, security.txt ou contatos de segurança públicos, o pesquisador recorreu a múltiplos canais: e-mails para diversos endereços da FIFA, mensagens no WhatsApp para um executivo sênior, ligações para o escritório principal da FIFA, linhas de mídia, o centro de transmissão em Dallas e até mesmo para a CISA (Cybersecurity and Infrastructure Security Agency) e o FBI. Foi somente através de um contato com a MediaKind e, posteriormente, com a CISA e o FBI, que a FIFA foi efetivamente notificada. A falha foi corrigida rapidamente na manhã seguinte, mas a FIFA não ofereceu nenhuma resposta, agradecimento ou recompensa ao pesquisador, embora o tenha mantido em sua lista de e-mails da FDP, enviando documentos oficiais de partidas.
A causa raiz identificada foi a arquitetura de autorização no lado do cliente sem validação no servidor. Essa falha permitia que qualquer usuário autenticado no tenant da FIFA, mesmo sem as devidas permissões de role, acessasse e manipulasse dados sensíveis e funcionalidades críticas. A FIFA foi aconselhada a implementar um arquivo security.txt, publicar uma Vulnerability Disclosure Policy (VDP), abandonar a autorização no lado do cliente e estabelecer um programa de bug bounty para incentivar a descoberta e o reporte responsável de vulnerabilidades.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
