Come ho hackerato i sistemi dei Mondiali FIFA partendo da un account pubblico

Sfide scientifiche

Una semplice procedura di registrazione pensata per aspiranti agenti calcistici avrebbe potuto aprire l’accesso ai sistemi utilizzati durante la Coppa del Mondo FIFA 2026. La vicenda, resa pubblica dalla ricercatrice di sicurezza BobDaHacker il 16 giugno 2026, mette in luce un errore di progettazione che continua a comparire anche in ambienti tecnologicamente avanzati: affidare i controlli di autorizzazione al frontend anziché applicarli rigorosamente lato server. Il caso assume particolare rilevanza perché riguarda infrastrutture legate alla distribuzione dei contenuti audiovisivi di uno degli eventi sportivi più seguiti al mondo, con un’audience che raggiunge miliardi di spettatori attraverso centinaia di broadcaster internazionali.

Secondo quanto documentato dalla ricercatrice, l’accesso iniziale è avvenuto attraverso la piattaforma pubblica FIFA Agent Platform, utilizzata per la registrazione degli agenti sportivi. Una volta completata la procedura di identificazione, l’account creato veniva inserito all’interno dell’infrastruttura Microsoft dedicata alla gestione delle identità digitali all’interno dell’organizzazione. Da quel momento iniziava una catena di eventi che ha evidenziato gravi carenze nei controlli di autorizzazione.