Исследователь под ником BobDaHacker обнаружил серьёзную ошибку контроля доступа в онлайн-инфраструктуре FIFA, которая, по данным Dark Reading, могла позволить вмешаться в глобальные трансляции чемпионата мира. Проблема была связана с тем, как внешние аккаунты попадали в tenant Microsoft Entra и как серверная часть проверяла их права.

Сценарий начался с обычной регистрации на FIFA Agent Platform. Любой желающий может подать заявку футбольного агента, подтвердить email и загрузить документы. После этого FIFA создавала аккаунт в своём Microsoft Entra tenant. По словам исследователя, этот tenant оказался связан не только с агентской платформой, но и с внутренними системами, поддерживающими ключевые процессы организации.

При попытке обратиться к core data platform интерфейс показывал отказ в доступе. Но, как утверждает исследователь, это была лишь клиентская проверка: backend API продолжал отдавать данные и выполнять запросы для аутентифицированного пользователя без должной серверной авторизации. Такой паттерн хорошо известен в веб-безопасности: фронтенд прячет кнопку или показывает access denied, но реальное решение о доступе не enforced на сервере.

Самый опасный результат — доступ к streaming management platform, то есть производственной среде, через которую управляются трансляции матчей. По описанию Dark Reading, речь шла не только о просмотре камер и потоков, но и о возможности управлять live-вещанием: отключать трансляции или подменять видео. Исследователь в блоге иронично описал это как возможность «rickroll» для всего чемпионата мира, но реальный ущерб мог быть куда серьёзнее.

Dark Reading пишет, что пыталась получить комментарий FIFA, но не смогла добиться ответа. Публичных признаков злонамеренной эксплуатации в материале не приводится; уязвимость описана как найденная этическим хакером. Тем не менее сам класс ошибки важен для любой крупной организации, использующей Entra, SaaS-порталы и внешних пользователей.

Главный урок — внешняя регистрация не должна автоматически создавать путь к внутреннему tenant без строгой сегментации. Все API, особенно управляющие вещанием, матчевыми системами или производственной инфраструктурой, должны проверять права на сервере. Клиентский «access denied» не является механизмом безопасности, если backend продолжает доверять самому факту входа в систему.

Источник: Dark Reading, 18 июня 2026