BobDaHacker nennt sich die IT-Sicherheitsforscherin, die behauptet, sie habe Zugang zu einigen internen FIFA-Plattformen aufgrund einfacher Fehler im Sicherheitskonzept erlangen können. Damit wäre es möglich gewesen, das Live-Streaming der Spiele zu manipulieren – etwa mit einer Rickroll. Inzwischen hat die FIFA die Schwachstellen ausgebessert.
In einem Blog-Beitrag schreibt BobDaHacker, wie der Zugriff möglich wurde. Eine Anmeldung auf der FIFA-Beraterseite (FIFA Agent Platform) war ganz einfach mit einem Ausweis und dem Bestätigen einer E-Mail-Adresse möglich. Die Anmeldung legt das Konto im Microsoft-Entra-Tenant der FIFA an. Darüber laufen offenbar alle internen FIFA-Plattformen. Ein erster Versuch des Zugriffs auf die FIFA-Football-Daten-Plattform fdp.fifa.org schien eine Prüfung vorzunehmen und wies BobDaHacker mangels entsprechender Rolle ab. Allerdings handelte es sich um eine clientseitige Prüfung. Die Backend-API auf den Servern hingegen nimmt keinerlei Prüfung vor.
Die clientseitigen Abfragen lassen sich umgehen, und so war der Zugriff auf das Streaming-Management-Panel möglich – das echte Live-System, mit allen RTMP-URLs, Streaming-Keys und Ausgabe-URLs. Da landen die Streams aus den Stadion-Kameras, was eine Prüfung der URLs mit VLC bestätigte. Das Portal wies Schaltflächen auf, mit denen die Streams sich stoppen und starten lassen. Bösartige Angreifer hätten damit die Kamera-Streams umleiten und durch eigene Inhalte ersetzen können.
