Um bug simples expôs sistemas internos da FIFA
Um hacker ético identificou uma brecha de segurança em sistemas internos da FIFA. A vulnerabilidade possibilitava a qualquer pessoa alterar transmissões televisivas e feeds de comentaristas durante partidas da Copa do Mundo FIFA 2026. A organização corrigiu o problema horas após receber o relato.
O pesquisador, que usa o pseudônimo “BobDaHacker“, descobriu a falha ao se registrar como agente de jogadores na plataforma oficial de registro da FIFA. Ele explorou uma vulnerabilidade na API de back-end da organização para acessar múltiplas plataformas internas, conforme reportado pela TechRadar. A brecha permitia modificar o conteúdo exibido nas televisões dos espectadores e alterar o que os comentaristas visualizavam em seus monitores.
A API não verificava adequadamente a autorização das contas. O sistema confundia autenticação com autorização. Usuários autenticados conseguiam acessar recursos para os quais não tinham permissão.
“Um único atacante poderia sequestrar todas as câmeras simultaneamente. Um atacante poderia ter feito um rickroll [famoso meme e “pegadinha” da internet que consiste em enganar alguém com um link] em toda a Copa do Mundo da FIFA”, afirmou “BobDaHacker”.
Brett Winterford, vice-presidente de Inteligência de Ameaças da Okta, avaliou a gravidade da situação. “A audiência global média ao vivo de uma partida da Copa do Mundo da FIFA é de 175 milhões de espectadores. Imagine uma pessoa com as piores motivações descobrindo um bug que permite modificar essa transmissão ao vivo”, disse Winterford.
“Esse bug aconteceu. Felizmente, um pesquisador de segurança o encontrou primeiro”, acrescentou o executivo.
Winterford classificou a falha como mais um exemplo de CWE-602: Aplicação de Segurança do Lado do Servidor no Lado do Cliente. “É também um bom lembrete para desenvolvedores: não tratem autenticação como autorização. Autenticação lida com verificar se um usuário é quem diz ser, autorização lida com o que o usuário tem permissão para acessar”, alertou.
A organização não reconheceu publicamente o trabalho do pesquisador que identificou a falha.
Não há informações sobre se outros pesquisadores ou agentes maliciosos identificaram a vulnerabilidade antes de “BobDaHacker”. Também não está claro por quanto tempo a falha existiu nos sistemas da FIFA antes de ser descoberta e corrigida.
