Da en FIFA-agentkonto åpnet hele sendingssystemet

TL;DR

En sikkerhetsforsker registrerte en helt vanlig fotballagent-konto hos FIFA og fikk dermed tilgang til live RTMP-strømmer fra alle kameravinkler under VM 2026, kontrollpanelet for sendinger, kommentatordata og interne regneark. Årsaken var enkel: tilgangskontrollen lå bare i grensesnittet, ikke i API-ene.

Hva skjedde?

Forskeren registrerte seg på agents.fifa.org og ble automatisk lagt til i FIFAs Microsoft Entra-tenant. Angular-grensesnittet viste «access denied» for de fleste sidene, men API-ene bak sjekket aldri hvilken rolle den innloggede brukeren hadde. Enhver autentisert konto i tenanten fikk servert alt.

Hva ble eksponert?

Med en grunnleggende agentkonto kunne forskeren nå:

Live RTMP-ingest-URL-er og strømnøkler for alle fem kameravinkler per kamp
Funksjoner for å starte og stoppe selve sendingene
Kommentatordashbord med kampbriefinger, samt skrivetilgang til statistikk og redaksjonell tekst
Interne overgangsrapporter og konfidensielle regneark

RTMP-URL-ene er bokstavelig talt røret fra stadionkameraene inn i FIFAs distribusjonskjede.

Hvorfor ble ikke skaden verre?

Forskeren utnyttet ikke hullet, men forsøkte å varsle. Da FIFA var umulig å få tak i, kontaktet han MediaKind, CISA og FBI. Neste morgen var hullet tettet, riktignok uten en bekreftelse fra FIFA.

Hva kan vi lære?

Frontend kan skjule en knapp, men det er ikke sikkerhet. Når flere brukertyper deler samme autentiserings-tenant, må hvert eneste API-endepunkt selv sjekke om brukeren faktisk har lov til å se dataene. En «access denied» i nettleseren betyr ingenting hvis API-et svarer villig på et direkte kall.

Valider roller og tilgang på serversiden, i hvert enkelt API-endepunkt. Behandle frontend-sjekker som UX, aldri som sikkerhet. Test API-ene dine med en lav-privilegert konto og se hva de faktisk returnerer.

Kilde: bobdahacker.com