Auf den Punkt: Eine fehlende Berechtigungsprüfung in Backend-APIs ermöglichte es unbefugten Nutzern, über das öffentliche FIFA-Agenturen-Portal auf kritische Streaming- und Spieldaten-Systeme der WM 2026 zuzugreifen.
Ein Sicherheitsforscher unter dem Pseudonym Bobdahacker fand eine kritische Schwachstelle in der FIFA-Infrastruktur, die es neu registrierten Nutzern ohne Berechtigungen ermöglichte, auf interne Systeme zuzugreifen — einschließlich Live-Streaming-Panels und Spielverwaltungsfunktionen der WM 2026.
Die Lücke betraf das öffentliche FIFA Agent Platform Portal (agents.fifa.org), über das Fußballvermittler Akkreditierungen beantragen. Bei der Registrierung wurden neue Konten automatisch zum Microsoft Entra Identity Tenant der FIFA hinzugefügt — demselben Tenant, der auch alle internen Plattformen der FIFA absichert. Dies ermöglichte es registrierten Nutzern theoretisch, auf alle davon abhängigen Systeme zuzugreifen.
Der Forscher entdeckte, dass eine clientseitige Zugriffskontrolle in der Angular-Anwendung die Football Data Platform schützte, indem sie Konten mit einer NO_ROLES-Kennzeichnung blockierte. Die dahinter liegenden APIs überprüften diese Berechtigungen jedoch nicht. Durch direkten API-Zugriff bypassed erhielt der Forscher Zugang zu einem Live-Streaming-Management-Panel für die WM 2026, das Streaming-Konfigurationen, RTMP-Endpunkte, Stream-Schlüssel und Steuerelemente zum Starten, Stoppen oder Planen von Übertragungen enthielt. Zusätzlich waren ein Live-Match-Dashboard, Wettbewerbsverwaltungstools, das Commentator Information System (das Rundfunkanstalten mit Live-Statistiken versorgt) sowie eine Microsoft-Azure-Entwicklungsumgebung mit Metadaten zu Einnahmen, Transfers und Schiedsrichtern erreichbar.
Über Schreibrechte in Spielverwaltungsfunktionen hätten unbefugte Nutzer Live-Statistiken, Kommentare, taktische Aufstellungen und Spieldaten manipulieren können. Der Forscher betonte, dass diese Steuerelemente funktionsfähig waren, aber bewusst nicht aktiviert wurden. Die Schwachstelle wurde über mehrere Kanäle der FIFA gemeldet und kurze Zeit später behoben. Die FIFA hat sich bislang nicht öffentlich dazu geäußert.
Quelle: www.it-daily.net · Erschienen 20. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.