世界杯直播管理系统仅需简单注册即可任意访问
近日,安全研究员 BobDaHacker 披露了其在 2026 年世界杯期间发现的一项严重网络安全漏洞,可以使未经授权的人员能够访问 FIFA 内部多个关键生产系统,甚至具备劫持世界杯实时直播信号的潜力。据该研究员描述,他在 FIFA 官方的“足球经纪人平台”注册并获得认证后,其账户被自动添加至 FIFA 的 Microsoft Entra租户中。尽管前端界面对该账户显示“访问被拒绝”,但系统并未在后端 API 层面进行严格的权限验证。研究员通过绕过前端限制,成功进入了包括“足球数据平台”和“评论员信息系统”在内的多个内部管理后台。随后,他能够直接获取所有世界杯比赛的实时 RTMP 推流地址、摄像机预览流以及广播输出流,及系统的控制权限。这意味着攻击者只需通过简单的操作,便可将这些直播信号替换为其他画面,在全球观众观看世界杯比赛期间进行非法干扰。此外,研究员还获得了访问比赛实时统计数据、调整战术阵容以及查看内部敏感文件的权限,甚至能够对比赛的实时数据记录进行修改。
—— BobDaHacker
近日,安全研究员 BobDaHacker 披露了其在 2026 年世界杯期间发现的一项严重网络安全漏洞,可以使未经授权的人员能够访问 FIFA 内部多个关键生产系统,甚至具备劫持世界杯实时直播信号的潜力。据该研究员描述,他在 FIFA 官方的“足球经纪人平台”注册并获得认证后,其账户被自动添加至 FIFA 的 Microsoft Entra租户中。尽管前端界面对该账户显示“访问被拒绝”,但系统并未在后端 API 层面进行严格的权限验证。研究员通过绕过前端限制,成功进入了包括“足球数据平台”和“评论员信息系统”在内的多个内部管理后台。随后,他能够直接获取所有世界杯比赛的实时 RTMP 推流地址、摄像机预览流以及广播输出流,及系统的控制权限。这意味着攻击者只需通过简单的操作,便可将这些直播信号替换为其他画面,在全球观众观看世界杯比赛期间进行非法干扰。此外,研究员还获得了访问比赛实时统计数据、调整战术阵容以及查看内部敏感文件的权限,甚至能够对比赛的实时数据记录进行修改。
—— BobDaHacker
