Come ho hackerato i sistemi dei Mondiali FIFA partendo da un account pubblico

Una semplice procedura di registrazione pensata per aspiranti agenti calcistici avrebbe potuto aprire l’accesso ai sistemi utilizzati durante la Coppa del Mondo FIFA 2026. La vicenda, resa pubblica dalla ricercatrice di sicurezza BobDaHacker il 16 giugno 2026, mette in luce un errore di progettazione che continua a comparire anche in ambienti tecnologicamente avanzati: affidare i controlli di autorizzazione al frontend anziché applicarli rigorosamente lato server. Il caso assume particolare rilevanza perché riguarda infrastrutture legate alla distribuzione dei contenuti audiovisivi di uno degli eventi sportivi più seguiti al mondo, con un’audience che raggiunge miliardi di spettatori attraverso centinaia di broadcaster internazionali.

Secondo quanto documentato dalla ricercatrice, l’accesso iniziale è avvenuto attraverso la piattaforma pubblica FIFA Agent Platform, utilizzata per la registrazione degli agenti sportivi. Una volta completata la procedura di identificazione, l’account creato veniva inserito all’interno dell’infrastruttura Microsoft dedicata alla gestione delle identità digitali all’interno dell’organizzazione. Da quel momento iniziava una catena di eventi che ha evidenziato gravi carenze nei controlli di autorizzazione.

Un errore classico nascosto dietro tecnologie moderne

L’infrastruttura utilizzata dalla FIFA poggia su Microsoft Entra ID, piattaforma precedentemente conosciuta come Azure Active Directory, per gestire autenticazione e ruoli utente.

Una volta effettuato l’accesso, le applicazioni web controllano il contenuto del token JWT (JSON Web Token) assegnato all’utente. Se il sistema rilevava l’assenza dei ruoli necessari, mostrava una schermata di accesso bloccato. A prima vista sembrava tutto corretto. Il problema era altrove: le API backend continuavano a rispondere alle richieste senza verificare realmente i privilegi associati all’account.

In pratica l’interfaccia utente comunicava all’utente che l’accesso era vietato, mentre il server forniva comunque dati e funzionalità. Una situazione che qualsiasi attaccante con minime competenze avrebbe potuto sfruttare semplicemente analizzando le richieste HTTP e richiamando direttamente gli endpoint esposti.

Secondo la ricostruzione pubblicata da BobDaHacker, il problema nasceva dal fatto che il frontend verificava la presenza di specifici ruoli all’interno dei claim contenuti nel token JWT e bloccava la navigazione quando tali attributi risultavano assenti. Le API sottostanti, però, non eseguivano lo stesso controllo: bastava quindi individuare gli endpoint richiamati dall’applicazione ed effettuare direttamente le richieste HTTP per ottenere dati e funzionalità che l’interfaccia avrebbe dovuto nascondere.

L’accesso al pannello di gestione dei flussi televisivi della Coppa del Mondo FIFA 2026

Tra le piattaforme raggiungibili compariva Football Data Platform di FIFA. Superando i controlli implementati esclusivamente nel codice frontend, la ricercatrice ha dichiarato di aver ottenuto visibilità su un pannello di gestione dedicato ai flussi video della Coppa del Mondo 2026.

La documentazione pubblicata mostra la presenza di informazioni relative a partite reali, feed video multipli e configurazioni operative utilizzate durante la distribuzione delle immagini provenienti dagli stadi. Ogni incontro risultava associato a diversi punti di ripresa, inclusi feed tattici e telecamere supplementari.

Particolarmente sensibile è risultata l’esposizione di URL utilizzati per l’acquisizione e la trasmissione dei flussi video tramite il protocollo RTMP (Real-Time Messaging Protocol), insieme ai manifest HLS (HTTP Live Streaming) impiegati per le anteprime e ad altri parametri relativi all’infrastruttura di distribuzione fornita da MediaKind.

Secondo il report elaborato da BobDaHacker, queste informazioni avrebbero potuto permettere a utenti non autorizzati di visualizzare i flussi video in diretta e, almeno in teoria, di tentare azioni in grado di interferire con la corretta distribuzione dei contenuti.

La ricercatrice non ha ovviamente eseguito prove intrusive sui sistemi di produzione: ha correttamente limitato le verifiche alla conferma dell’accessibilità delle risorse, interrompendo subito ulteriori attività potenzialmente impattanti.

Perché le chiavi RTMP rappresentano un elemento critico

Le piattaforme di broadcasting moderne utilizzano frequentemente meccanismi di autenticazione basati su URL e token incorporati. Nel caso descritto, i riferimenti pubblicati indicavano la presenza di identificatori utilizzati come chiavi di pubblicazione per i flussi video.

Una chiave RTMP svolge una funzione essenziale: identifica la sorgente autorizzata a trasmettere verso un endpoint di streaming. Se un attaccante entra in possesso di tali credenziali e l’infrastruttura non applica ulteriori verifiche, potrebbe tentare l’invio di contenuti arbitrari verso il sistema di distribuzione.

Naturalmente la realtà operativa è spesso più complessa. Molti operatori implementano controlli aggiuntivi come whitelist IP, autenticazione multilivello, validazione delle sorgenti e monitoraggio automatico delle anomalie. Tuttavia la semplice esposizione di dati così sensibili indica una superficie d’attacco significativamente più ampia del necessario.

L’indagine non si è fermata alla gestione degli stream. La ricercatrice ha individuato accessi a strumenti dedicati alle statistiche in tempo reale, alle informazioni sulle squadre, alle analisi delle partite e ai servizi destinati ai commentatori televisivi.

Tra gli elementi visibili comparivano dati relativi al possesso palla, alle formazioni, agli eventi di gara e alle informazioni editoriali preparate per le emittenti. Si tratta di materiale che alimenta le grafiche televisive e supporta il lavoro delle redazioni sportive durante le dirette.

Ancora più delicata la presenza di funzionalità che, secondo il report, consentivano modifiche operative attraverso pulsanti di pubblicazione e aggiornamento. Se confermate, tali capacità avrebbero potuto permettere l’inserimento di dati errati nei sistemi informativi utilizzati durante gli incontri.

Che fatica per segnalare il problema di sicurezza alla FIFA!

Un aspetto particolarmente significativo riguarda il processo di segnalazione responsabile. La ricercatrice afferma di aver tentato numerosi canali di contatto senza ottenere risposte da parte dell’organizzazione: solo dopo aver coinvolto aziende partner e autorità competenti (dirimenti i contatti con CISA e FBI), è riuscita a far arrivare la segnalazione ai soggetti in grado di intervenire.

La vicenda mette in luce l’importanza di strumenti come security.txt e delle Vulnerability Disclosure Policy, ovvero le procedure che definiscono come segnalare in modo responsabile le vulnerabilità informatiche. security.txt è un file standardizzato che le organizzazioni pubblicano sul proprio server web per indicare ai ricercatori di sicurezza quali contatti utilizzare per segnalare falle, vulnerabilità o altri problemi che potrebbero compromettere sistemi e dati.

Grazie a queste informazioni, chi individua una criticità può raggiungere rapidamente il team competente senza dover cercare indirizzi email o canali di comunicazione alternativi. L’adozione di security.txt e di chiare politiche di “condivisione responsabile” (ci vorrebbe anche un Bug Bounty di Stato in Italia) contribuisce quindi a velocizzare la gestione degli incidenti, ridurre i tempi di esposizione ai rischi e favorire una collaborazione più efficace tra ricercatori e imprese.

Nel corso delle verifiche la ricercatrice ha inoltre individuato servizi basati su Azure Functions che consentivano l’accesso a informazioni archiviate in contenitori Azure Blob Storage. Tra i dati esposti figuravano documenti operativi, fogli di lavoro e file utilizzati durante le attività di gestione dell’evento. Non si trattava necessariamente di materiale altamente riservato, ma la presenza di tali risorse confermava l’assenza di adeguate verifiche di autorizzazione su più componenti dell’infrastruttura.

La correzione e le lezioni per il settore

Secondo quanto riportato nel report, la vulnerabilità è stata corretta nell’arco di poche ore. Dopo l’intervento, gli endpoint backend hanno iniziato a restituire errori HTTP 403 agli account privi dei privilegi necessari, applicando finalmente i controlli di autorizzazione direttamente sul server.

Hanno risolto il problema senza mai rispondermi. Ho dovuto chiamare la FIFA, MediaKind, HBS, CISA e FBI alle 3 del mattino, ora di Tokyo, solo per riuscire a farmi ascoltare da qualcuno. — BobDaHacker

L’autenticazione e l’autorizzazione sono concetti distinti. Verificare l’identità dell’utente non basta: ogni richiesta deve essere sottoposta a controlli rigorosi sul backend, indipendentemente da ciò che mostra l’interfaccia grafica.

Le applicazioni moderne basate su Angular, React o Vue spesso implementano controlli lato client per migliorare l’esperienza utente. Tali controlli hanno però esclusivamente una funzione estetica e organizzativa. Non possono essere assolutamente considerati una misura di sicurezza.

La storia raccontata da BobDaHacker dimostra come un singolo errore architetturale possa compromettere piattaforme estremamente complesse e costose.

Quando servizi pubblici e infrastrutture interne condividono lo stesso dominio di identità, ogni meccanismo di segregazione deve essere verificato con estrema attenzione. Altrimenti basta una registrazione legittima e qualche “giochetto” con le chiamate HTTP per arrivare molto più lontano del previsto.

Il caso rientra perfettamente nella categoria OWASP Broken Access Control, che da anni occupa le prime posizioni tra le vulnerabilità più pericolose nelle applicazioni web. La particolarità della vicenda FIFA non risiede nella complessità dell’attacco, ma nel fatto che un errore tanto elementare sia sopravvissuto all’interno di una piattaforma collegata a uno degli eventi sportivi più importanti del pianeta.

Le immagini pubblicate nell’articolo sono tratte dall’analisi pubblica di BobDaHacker.