Dok traje do sada najveće Svetsko prvenstvo u fudbalu u SAD-u, Kanadi i Meksiku, svetska glavna fudbalska organizacija FIFA suočava se sa mogućim bezbednosnim problemima koji su otkriveni već u prvoj nedelji takmičenja. Istraživačica bezbednosti i etička hakerka, koja se predstavlja nadimkom BobDaHacker, otkrila je kritičnu ranjivost u digitalnoj infrastrukturi te organizacije.
⚽ I Could've Rickrolled the Entire FIFA World Cup. All I Needed Was My ID. Registered on FIFA's public Agent Platform, accessed RTMP stream keys for every live World Cup 2026 camera feed. An attacker could've replaced live TV worldwide. bobdahacker.com/blog/fifa-hack #InfoSec #FIFA #WorldCup [image or embed] — BobDaHacker 🏳️⚧️ (she/her) ( @bobdahacker.com ) June 16, 2026 at 1:25 AM
Otkriveno je, naime, da se putem javno dostupnog portala za registraciju fudbalskih agenata može dobiti pristup FIFA-inom sistemu Microsoft Entra, koji objedinjuje niz njihovih internih platformi. Iako su interfejsi aplikacija prikazivali poruku o zabrani pristupa, pokazalo se da pozadinski sistemi nisu proveravali korisnička ovlašćenja, što je sa druge strane omogućilo neometan pristup veoma osetljivim podacima.
Ovim propustom bio je omogućen uvid u upravljačku tablu za striming svih utakmica Svetskog prvenstva, uključujući pristup linkovima za prenos uživo i mogućnost upravljanja kamerama. Uz to, bio je otvoren pristup platformi koja prikuplja podatke o fudbalskim utakmicama u realnom vremenu, sistemu za komentatore, kao i poverljivim internim dokumentima. Sistem je čak dozvoljavao bilo kome ko je prijavljen na taj način da menja podatke o utakmicama, što bi se direktno odrazilo na informacione sisteme koje koriste i televizijski komentatori tokom prenosa.
Ceo proces "hakovanja", odnosno ostvarivanja neovlašćenog pristupa kritičnim sistemima FIFA-e, dokumentovan je na blogu BobDaHackera. Uz opis procesa i dokaze za svoje tvrdnje, bela hakerka navodi i da je prijavljivanje ove ranjivosti bilo izuzetno otežano zbog nedostatka jasnih komunikacionih kanala FIFA-e za prijavu bezbednosnih propusta. Nakon bezuspešnog pokušaja kontaktiranja FIFA-e putem imejla i telefona, kontaktirani su kompanija MediaKind, zadužena za tehnologiju TV prenosa, kao i američka Agencija za sajber-bezbednost (CISA), a na kraju i FBI.
Nakon svih tih prijava, FIFA je već tokom sledećeg dana ispravila ranjivost onemogućivši neovlašćeni pristup pozadinskim sistemima. Uprkos brzoj reakciji, FIFA se nije oglasila o samom incidentu niti je zvanično odgovorila na prijavu problema.
Zaključak: Očigledno je da ni najveće organizacije nisu imune na bizarne sigurnosne propuste i da ovaj slučaj ukazuje na potrebu za uspostavljanjem zvaničnih sigurnosnih politika, programa za prijavu ranjivosti, kao i na unapređenje mehanizama za autorizaciju unutar organizacije – naročito kada se organizuje tako masovan događaj kao što je Svetsko prvenstvo.
Izvor: b92
