Всё началось с регистрации на публичном портале FIFA Agent Platform. После проверки документов пользователя добавили в Microsoft Entra-тенант FIFA — тот самый, через который работают все внутренние системы организации. Включая fdp.fifa.org — Football Data Platform. При входе Angular-приложение проверяло JWT-токен, находило отметку NO_ROLES и показывало надпись «доступ запрещён». Но это была только клиентская проверка. Бэкенд просто отдавал данные любому аутентифицированному пользователю.
Обойдя клиентский блокировщик, исследователь попал в панель Streaming Management. Это была боевая система управления стримами Чемпионата мира по футболу 2026. Настоящие матчи, пять камер на каждый, RTMP-адреса для приёма видео, превью-манифесты для просмотра и HLS-ссылки для вещателей. Стрим-ключ был общим для всех пяти камер одного матча. Исследователь скопировал превью-манифест в VLC — и увидел прямую трансляцию с активного матча ЧМ-2026. Управление стримами (старт, стоп, переключение) тоже было доступно.
Но самое страшное: RTMP-адреса — это прямой канал от камер на стадионе до вещателей. Зная стрим-ключ (он прямо в URL), атакующий мог подменить трансляцию. Все пять камер одновременно. Любой контент — на все телеканалы мира. Исследователь не стал проверять.
Панель управления была не единственной проблемой. Аккаунт с ролью NO_ROLES давал доступ к турнирной таблице, редактору комментариев, системе Commentator Information System (cis.fifa.org), аналитике с интеграцией FIFA AI Pro и даже к полям для записи вроде «Обновить статистику в прямом эфире» и «Изменить официальное время начала матча». Всё это публикуется на ТВ. Плюс в довесок нашёлся открытый Azure Function App c 23 внутренними файлами FIFA — от трансферных отчётов до Debbie.xlsx.
Дальше начался ад с уведомлением. У FIFA нет программы Bug Bounty, нет security.txt, нет опубликованного контакта. Исследователь писал на десяток guessed-адресов — пять писем упали, остальные ушли в пустоту. Звонил в штаб-квартиру в Цюрихе, в медиа-офис, в далласский конвеншн-центр — везде выходной или автоответчик. Нашёл в LinkedIn главу футбольных технологий FIFA Себастьяна Рунге, написал в WhatsApp — без ответа. Прорыв случился через MediaKind (партнёра по стримингу). Там поняли проблему сразу, попросили прислать данные со стрим-ключами. Исследователь позвонил в CISA — они оказались федеральным ответственным за кибербезопасность ЧМ-2026, приняли отчёт. Через Signal связался с контактами в ФБР.
На следующее утро уязвимость закрыли. Аккаунт с NO_ROLES теперь получает 403 ошибку с сервера, не с клиента. FIFA так и не ответила — ни спасибо, ни уведомления о закрытии. Зато исследователь до сих пор получает официальные документы матчей ЧМ-2026 с почты FIFA. В четырёх языках.