Известный независимый исследователь информбезопасности под ником BobDaHacker совершил невозможное: используя лишь свое удостоверение личности, он получил полный контроль над внутренними системами FIFA и всеми видеотрансляциями Чемпионата мира по футболу 2026 года. Из-за детской ошибки программистов любой желающий мог сорвать мировой эфир, передает Toppress.
История началась банально. Хакер решил зарегистрироваться на официальном портале FIFA в качестве футбольного агента. Для этого нужно было просто загрузить фото ID-карты и пройти верификацию.
После успешной регистрации система автоматически добавила его аккаунт в общее корпоративное облако Microsoft Entra, которым пользуются сами сотрудники FIFA. Когда парень попытался зайти на закрытую Платформу футбольных данных (fdp.fifa.org), сайт выдал ему стандартную загвоздку «Доступ запрещен». Однако хакер быстро обнаружил, что эта защита была лишь «для вида».
«Сайт проверял права доступа только на стороне браузера и показывал красивую плашку “У вас нет ролей”. Но серверная часть (backend) вообще ничего не проверяла! Она отдавала любые секретные данные по первому запросу», — рассказал BobDaHacker.
Обойдя бутафорскую защиту, исследователь оказался в панели управления трансляциями ЧМ-2026. Перед ним открылся доступ ко всем матчам, камерам на стадионах США, Мексики и Канады, а также к секретным стрим-ключам.
«Там были живые потоки со стадионов. Я вставил ссылку в обычный VLC-плеер на своем ПК и увидел прямой эфир. Но хуже всего — панель имела кнопки “Старт” и “Стоп”. В один клик можно было обрушить трансляцию для крупнейших телеканалов мира. А имея стрим-ключи, злоумышленник мог подменить картинку и пустить в прямой эфир ЧМ-2026 знаменитый клип-мем Рика Эстли (Рикролл) или геймплей игры Subway Surfers», — признается хакер.
Помимо видео, «агент без ролей» получил доступ к панели управления счетом матчей, замене игроков, тактическим схемам и Системе информации комментаторов (cis.fifa.org). Хакер мог прямо во время игры менять счет на экранах телевизоров по всему миру и редактировать заметки, которые комментаторы читают в прямом эфире.
Чтобы закрыть эту колоссальную дыру в безопасности, хакеру пришлось пережить самую стрессовую ночь в жизни. FIFA не имеет контактов для службы безопасности, поэтому парню в 3 часа ночи по Токио пришлось экстренно обрывать телефоны ФБР, Агентства по кибербезопасности США (CISA) и технического партнера MediaKind.
К утру уязвимость была спешно закрыта. Представители FIFA так и не связались с хакером, не сказали «спасибо» и не выплатили вознаграждение, однако по ошибке оставили его в официальной рассылке — парень до сих пор получает на почту закрытые тактические отчеты матчей ЧМ-2026.
