作者发现FIFA经纪人平台的注册漏洞：成功注册后，用户账号会被自动加入FIFA的微软Entra租户，从而可能访问所有内部系统。尽管作者多次尝试联系相关部门，但问题被悄无声息地修复了。这暴露了FIFA系统存在的重大安全隐患。

标题：我本可以戏弄整个世界杯——只需一张身份证

来源：https://bobdahacker.com/blog/fifa-hack 发布时间：2026-06-16

内容摘要：

凌晨三点的紧急呼叫 在发现重大安全漏洞后，作者不得不连夜联系国际足联、MediaKind、HBS、CISA和FBI。这场惊心动魄的发现始于一个足球经纪人注册平台。

漏洞发现过程 1. 通过FIFA公开的经纪人平台注册时，用户账户会被自动加入FIFA的Microsoft Entra租户（原Azure AD） 2. 作者前两次注册因身份证照片光线问题失败，第三次成功获得"FAP确认"邮件（注：FIFA经纪人平台简称FAP） 3. 访问fdp.fifa.org时，虽然前端显示"无权限"，但后端API未做任何权限验证

惊人的访问权限 - 直播控制面板：可查看和控制2026世界杯所有比赛直播 - 每场比赛5个摄像机位（PGM主画面、战术视角等） - 完整的RTMP推流地址和密钥 - 直播预览链接在VLC播放器中可实时观看 - 数据平台完整导航：比赛、球队、工具、交换平台、分析仪表盘等 - 解说员信息系统(CIS)：可查看所有赛前准备的解说资料 - 开发环境：暴露23个内部Excel文件，包括转会报告、收入对比等敏感数据

潜在危害 - 通过RTMP推流地址可劫持全球直播信号 - 可修改实时比赛数据（比分、统计数据等） - 能调整官方开球时间、发送战术阵容 - 可更改解说员使用的实时数据

漏洞报告历险记 作者尝试了10种联系方式： 1. 邮件联系FIFA多个部门（多数退回） 2. WhatsApp联系FIFA技术主管（无回复） 3. 致电FIFA总部（非工作时间） 4. 联系MediaKind（成功接通并提交报告） 5. 上报美国网络安全局(CISA)和FBI 漏洞在次日被静默修复，但FIFA始终未予回应。

根本原因 系统仅依赖前端权限验证，后端API对任何已认证用户完全开放。这种架构缺陷影响了FIFA多个核心系统。

作者建议 - 建立安全联系机制（如security.txt） - 制定漏洞披露政策 - 加强服务器端权限验证 - 改善应急响应流程

文末作者调侃道："在某个平行宇宙里，数十亿人正在世界杯决赛中观看《地铁跑酷》——这一切只需要一张身份证。"

主要观点总结：

1. 严重安全漏洞（获高度认可）

• 发现FIFA直播系统存在重大后端验证缺失，可操控全球直播信号（评论1） "后端API提供了所有内容：2026世界杯所有五个机位的RTMP推流地址和流密钥" "攻击者可以向推流端点推送任意视频，替换全球电视广播信号"

• 其他评论者震惊于漏洞的严重性（评论2,5,6） "每个服务的每个API都没有检查JWT？"（评论2） "天啊...你本可以向数百万人发送信息引发全球现象！"（评论5）

2. FIFA的历史问题（获普遍认可）

• 类似漏洞在2022卡塔尔世界杯就已存在（评论3） "我为2022卡塔尔世界杯做过类似的事，获得了阵容提交系统的访问权限" "他们承诺的'感谢信物'从未兑现（不过也没起诉我）"

3. 对AI写作的争议（观点对立） 质疑方（评论9,12）： "请停止用AI写作...我很难信任它"（评论9） "你中了安全研究的头奖，却不能花一两小时去除AI味道吗？"（评论12）

支持方（评论10）： "不明白为什么人们执着于LLM格式...所有内容都值得一读"（评论10）

4. 技术细节讨论（中性）

• 关于RTMP协议的实际影响（评论8） "你怎么确定你的推流会覆盖'真实'信号？协议如何处理多人同时推流？" "多数直播方应该会有现场导演来切断异常信号"

5. 道德肯定（获普遍认可）

• 赞赏发现者没有滥用漏洞（评论4,5,7） "希望你能从FIFA得到回报，这可能在坏人手中造成巨大灾难"（评论4） "必须称赞你抵制住了向数百万人发送信息的冲动"（评论5）