Про це повідомляє профільне видання TechCrunch із посиланням на детальний технічний звіт дослідниці під ніком BobDaHacker, який вона опублікувала у своєму блозі.
Для отримання доступу дослідниці знадобилося лише зареєструвати обліковий запис у ролі футбольного агента на офіційній платформі FIFA Agent Platform. Під час спроби перейти на закриту платформу футбольних даних fdp.fifa.org клієнтська частина сайту, побудована на Angular, виявила відсутність прав і вивела стандартне повідомлення про відмову в доступі. Проте як з’ясувалося, серверна частина платформи (API) взагалі не перевіряла повноваження користувача й автоматично надавала всі запитувані дані.
Через цю помилку дослідниця потрапила на робочу панель управління трансляціями Чемпіонату світу 2026 року. У її розпорядженні опинилися посилання на прямі трансляції з усіх тактичних камер матчів, ключі авторизації та RTMP-адреси, які використовуються для передавання сигналу партнерам FIFA. BobDaHacker успішно перевірила працездатність системи, запустивши один зі стрімів у звичайному плеєрі VLC на своєму комп’ютері в Токіо.
Окрім перегляду, інтерфейс надавав повний доступ до керування ефіром. Будь-який авторизований користувач без прав міг одним кліком зупинити трансляцію матчу, змінити розклад або підмінити відеопотік.
Читайте также: Понад 90 джунів працевлаштувалися цьогоріч до Ajax Systems. Скільки ще вакансій рівня junior має компанія
За словами дослідниці, зловмисники могли б легко використати знайдені ключі трансляції, щоб замінити картинку на головному телевізійному вихідному сигналі (PGM). Вона зауважила, що за бажання можна було б влаштувати «рікрол» (інтернет-розіграш із раптовим відтворенням кліпу Ріка Естлі Never Gonna Give You Up) для всього чемпіонату світу або запустити геймплей популярної гри Subway Surfers у прямому ефірі на всіх телеканалах світу під час гри.
Крім того, обліковий запис без жодних ролей отримав доступ до внутрішніх систем аналітики, даних суддів, інформаційної системи коментаторів, адмін-панелі та сервісу FIFA AI Pro.
BobDaHacker надіслала звіт про проблему представникам FIFA, і за кілька годин уразливість закрили — тепер сервер коректно повертає помилку 403. Попри швидке виправлення, спортивна організація офіційно не відповіла дослідниці, не висловила подяки та не виплатила винагороду. Ба більше, розробники забули видалити її адресу зі списку розсилки платформи даних, тому дослідниця досі отримує офіційні тактичні схеми, звіти та стартові склади команд на ЧС-2026 чотирма мовами.
Читайте также: Google починає «викочувати» Android 17. Безліч нових ШІ-функцій і не тільки: на що очікувати користувачам