Thought Leadership
Ein Sicherheitsforscher deckte eine gravierende Lücke bei der FIFA auf. Unbefugte hätten WM-Livestreams steuern und Spieldaten manipulieren können.
Ein Sicherheitsforscher mit dem Pseudonym Bobdahacker hat eine erhebliche Schwachstelle in der digitalen Infrastruktur des Weltfußballverbandes FIFA während der laufenden Weltmeisterschaft 2026 entdeckt. Die Sicherheitslücke ermöglichte es neu registrierten Benutzern ohne zugewiesene Rechte, sich bei internen Systemen anzumelden. Der Zugriff erfolgte über das öffentliche FIFA Agent Platform Portal, das von Fußballvermittlern für Akkreditierungen genutzt wird.
Bei der Registrierung wurden die Konten dem Microsoft Entra Identity Tenant der FIFA hinzugefügt, welcher auch für interne Plattformen verwendet wird. Der Forscher erklärte dazu: „Wenn Sie sich auf agents.fifa.org registrieren, fügt FIFA Ihr Konto zu deren Microsoft Entra Tenant hinzu. Das ist derselbe Tenant, der alle internen Plattformen der FIFA antreibt. Und ich meine alle von ihnen.“
Beim anschließenden Versuch, die Football Data Platform aufzurufen, blockierte die Benutzeroberfläche den Zugriff zwar zunächst mit einer Fehlermeldung. Diese Einschränkung bestand jedoch ausschließlich clientseitig in der Angular-Anwendung. Die im Hintergrund agierenden Programmierschnittstellen überprüften die Berechtigungen der eingehenden Anfragen nicht. Der Entdecker beschrieb den Fehler wie folgt: „Sieht so aus, als ob es funktioniert, oder? Zugriff verweigert. Gehen Sie weg. Hier gibt es nichts zu sehen. Außer, dass dies alles clientseitig war. Die Angular-App überprüfte das JWT auf eine NO_ROLES-Kennzeichnung und stellte die Seite mit dem verweigerten Zugriff dar. Die Backend-APIs? Sie haben gar nichts überprüft. Sie haben einfach geliefert, worum auch immer Sie gebeten haben.“
Zugriff auf Streaming-Management und Live-Statistiken
Durch das Umgehen der clientseitigen Sperre erhielt der Forscher Zugriff auf ein Live-Streaming-Management-Panel, das für die Übertragungen der FIFA Fussball-Weltmeisterschaft 2026 eingesetzt wird. Die Plattform enthielt die Streaming-Konfigurationen für jedes WM-Spiel, einschließlich mehrerer Kamerawinkel, Streaming-Manifeste sowie RTMP-Endpunkte und zugehöriger Stream-Schlüssel. Über diese Schnittstellen laufen die Live-Videosignale der Stadionkameras zusammen, bevor sie an Rundfunkanstalten weitergegeben werden. Das Panel bot zudem Optionen zum Starten, Stoppen oder Planen von Übertragungen. Der Forscher betonte:
„Ich habe keines dieser Steuerelemente berührt. Aber sie waren da. Funktional. Wartend darauf, dass irgendjemand mit einem NO_ROLES-Konto sie drückt.“
Sicherheitsforscher mit dem Pseudonym Bobdahacker
Darüber hinaus erstreckte sich der Zugriff auf Wettbewerbsmanagement-Tools, Live-Match-Dashboards, Analysesysteme und das Commentator Information System, welches Rundfunkanstalten mit Live-Statistiken und redaktionellen Notizen versorgt. Über Schreibrechte in bestimmten Spielverwaltungsfunktionen hätten unbefugte Nutzer Live-Statistiken, Kommentare, taktische Aufstellungen und Spieldaten manipulieren können. Ebenfalls offen lag eine Entwicklungsumgebung auf Microsoft Azure, die Metadaten und Download-Links zu internen Dokumenten über Einnahmen, Transfers, Schiedsrichter und Trainerstatistiken bereitstellte.
Meldung und Behebung der WM-Schwachstelle
Die Schwachstelle wurde über mehrere Kanäle gemeldet. Laut Angaben des Forschers blieben erste Kontaktversuche gegenüber der FIFA zunächst unbeantwortet. Das Problem wurde jedoch kurze Zeit nach der Einreichung der Berichte behoben. Die FIFA hat sich bislang nicht öffentlich zu den Vorfällen geäußert.
(red)
