Uma falha de controle de acesso em plataformas digitais da FIFA teria permitido que uma pesquisadora de segurança acessasse sistemas internos ligados à operação da Copa do Mundo de 2026, incluindo painéis de transmissão, dados de partidas ao vivo, ferramentas usadas por comentaristas e ambientes com arquivos internos. A vulnerabilidade foi relatada por BobDaHacker, que afirmou ter conseguido chegar a essas áreas após se registrar em uma plataforma pública da entidade para agentes de futebol.

Segundo o relato, o problema começou no FIFA Agent Platform, portal usado para cadastro de agentes. Após concluir o registro com documento de identidade e validação de e-mail, a conta criada foi adicionada ao tenant Microsoft Entra da FIFA, anteriormente conhecido como Azure AD. O ponto crítico, de acordo com a pesquisadora, é que esse mesmo ambiente de identidade era utilizado por diferentes aplicações internas da organização.

Ao tentar acessar a Football Data Platform, a conta não possuía funções atribuídas e recebeu uma mensagem de acesso negado na interface. A restrição, porém, estaria aplicada apenas no front-end da aplicação. Na prática, a interface bloqueava a visualização com base no token do usuário, mas as APIs de backend não validavam corretamente se aquela conta tinha autorização para receber os dados solicitados.

Essa diferença entre autenticação e autorização foi o centro da falha. A autenticação confirmava que a conta existia no ambiente da FIFA, mas o backend não aplicava os controles necessários para limitar o acesso de acordo com papéis e permissões. Com isso, uma conta sem funções atribuídas teria conseguido acessar áreas que deveriam estar restritas a operadores, equipes técnicas e profissionais envolvidos na transmissão e gestão das partidas.

Entre os sistemas expostos estava um painel de gerenciamento de streaming da Copa do Mundo de 2026. O ambiente, segundo a divulgação, continha informações de partidas, ângulos de câmera, URLs de ingestão RTMP, manifests de pré-visualização e dados usados no fluxo de distribuição para parceiros de transmissão. A pesquisadora afirma que chegou a abrir uma prévia em um player de vídeo para confirmar que o conteúdo era ao vivo, mas encerrou o acesso imediatamente.

O risco operacional era significativo. O painel não oferecia apenas leitura de informações. De acordo com o relato, também havia controles para iniciar, interromper e agendar transmissões de diferentes feeds. Embora a pesquisadora afirme não ter acionado essas funções, a presença desses controles em uma conta sem permissões indicaria uma falha grave de autorização em sistemas ligados à transmissão do torneio.

O impacto potencial ia além da visualização indevida de imagens. A exposição de dados de ingestão e chaves de transmissão poderia, em um cenário malicioso, permitir interferência em fluxos de vídeo usados na cadeia de broadcast. A própria pesquisadora descreveu o caso de forma provocativa, dizendo que seria possível substituir a transmissão da Copa por outro conteúdo, embora tenha declarado que não testou essa hipótese nem enviou qualquer vídeo para os sistemas.

A investigação também apontou acesso a outras áreas da Football Data Platform, incluindo competições, partidas, equipes, ferramentas, plataforma de troca de dados, painéis analíticos, sistema de informações para comentaristas, recursos de IA da FIFA e área administrativa. Em algumas telas, segundo o relato, havia dados de partidas ao vivo, linha do tempo de eventos, informações de arbitragem, estatísticas em tempo real e componentes editoriais utilizados durante a cobertura dos jogos.

Outro ponto sensível envolvia permissões de escrita em áreas de gerenciamento de partidas. A conta sem funções atribuídas teria acesso a operações relacionadas a estatísticas, comentários editoriais, escalações táticas, dados de desempenho, ajustes de início de partida e informações consumidas por sistemas usados em transmissões. Caso exploradas por um invasor, essas funções poderiam gerar desinformação operacional, afetar dados exibidos ao público e comprometer a confiabilidade de informações entregues a comentaristas e emissoras.

O Commentator Information System, usado para apoiar narradores e comentaristas com dados em tempo real, também teria ficado acessível. Esse tipo de plataforma reúne estatísticas, formações, informações de jogadores, substituições, notas editoriais e dados de contexto preparados para transmissões. A exposição desse ambiente não representa apenas risco de vazamento, mas também de manipulação de informações que podem chegar ao público durante uma partida.

Além dos sistemas de transmissão e dados esportivos, BobDaHacker relatou ter encontrado um ambiente de desenvolvimento baseado em Azure Function App que retornava metadados e links para arquivos internos armazenados em Azure Blob Storage. Entre os documentos citados estavam planilhas relacionadas a transferências, comparações de receita, dados de representação em nível executivo e estatísticas de árbitros e treinadores.

A cadeia de ataque descrita no relato é relativamente simples do ponto de vista conceitual: uma pessoa se cadastrava em um portal público da FIFA, passava a existir no ambiente de identidade da entidade, autenticava-se em aplicações internas, recebia uma negativa visual de acesso na interface, mas ainda assim conseguia obter dados porque as APIs não reforçavam a autorização no servidor. Essa classe de erro é conhecida em segurança como falha de autorização server-side, quando o backend confia excessivamente em validações feitas no navegador.

O caso também chamou atenção pela dificuldade de comunicação com a FIFA. A pesquisadora afirma que tentou contato por e-mails, telefone, WhatsApp e outros canais, sem retorno inicial. Como a Copa estava em andamento e os sistemas afetados estavam ativos, ela buscou acionar empresas e órgãos relacionados à operação e à segurança do evento, incluindo MediaKind, HBS, CISA e FBI. Segundo o relato, a MediaKind compreendeu a gravidade do problema e solicitou detalhes técnicos para validação.

A vulnerabilidade teria sido corrigida no dia seguinte ao reporte. Após a correção, a conta sem funções passou a receber respostas 403 diretamente do servidor, indicando que a autorização começou a ser aplicada no backend, e não apenas na interface. A FIFA, segundo BobDaHacker, não respondeu formalmente ao reporte, embora o problema tenha sido mitigado.

Do ponto de vista de segurança, o incidente levanta discussões importantes sobre arquitetura de identidade, segmentação de tenants, controle de acesso baseado em papéis e processos de divulgação responsável de vulnerabilidades. Aplicações críticas não podem depender apenas de verificações client-side, já que qualquer decisão de autorização relevante precisa ser validada no servidor. Em ambientes com múltiplas plataformas compartilhando o mesmo provedor de identidade, a ausência de controles granulares pode transformar uma conta legítima, mas sem privilégios, em uma porta de entrada para sistemas sensíveis.

Também chama atenção a falta de canais públicos claros para reporte de vulnerabilidades. Em organizações com alta exposição global, especialmente responsáveis por eventos de grande porte, políticas de divulgação coordenada, arquivos security.txt e programas estruturados de recebimento de falhas reduzem o tempo entre descoberta, triagem e correção. Quando pesquisadores precisam recorrer a contatos informais ou órgãos governamentais para reportar um problema crítico, o risco operacional aumenta.

O episódio não indica, com base nas informações divulgadas, que transmissões tenham sido adulteradas ou que dados tenham sido explorados por agentes maliciosos. Ainda assim, a falha descrita mostra como um erro aparentemente básico de autorização pode afetar sistemas de grande escala, com impacto potencial sobre transmissão ao vivo, integridade de dados esportivos, comunicação com emissoras e continuidade operacional de um dos maiores eventos esportivos do mundo.