A raccontarlo è stata la ricercatrice di sicurezza nota come BobDaHacker, che il 16 giugno 2026 ha pubblicato un report sul problema. Alla base, secondo la sua ricostruzione, c’era un errore semplice: i controlli sui permessi funzionavano nell’interfaccia web, ma non venivano applicati allo stesso modo dal server. Una svista tecnica, quasi banale. Ma dentro una macchina enorme, quella che regge una Coppa del Mondo seguita da emittenti, redazioni sportive e spettatori in decine di Paesi.
Da un account pubblico all’identità interna FIFA
Il punto di partenza, scrive BobDaHacker, era la FIFA Agent Platform, il portale usato dagli aspiranti agenti sportivi per registrarsi e completare le procedure di identificazione. Dopo la creazione dell’account, l’utente veniva inserito nel sistema di identità gestito con Microsoft Entra ID, il servizio conosciuto in passato come Azure Active Directory.
Da lì la ricercatrice ha notato che quell’identità, nata da una normale registrazione pubblica, risultava collegata a un ambiente più ampio, dove convivevano applicazioni interne, strumenti operativi e servizi usati per la gestione dei contenuti della FIFA. Non era, almeno in apparenza, un accesso da amministratore. L’account non aveva ruoli speciali né permessi dichiarati per entrare nei pannelli più delicati. Eppure è bastato proprio quel profilo ordinario per avviare le verifiche che hanno portato alla scoperta del bug.
Il controllo solo lato client che spalancava le API dei Mondiali
Il cuore del problema era nei controlli di autorizzazione lato client, cioè gestiti dall’interfaccia dell’applicazione web e non ripetuti correttamente sulle API backend. In pratica, dopo il login, il sistema leggeva il token JWT dell’utente e controllava se nei claim fossero presenti i ruoli richiesti. Se quei ruoli mancavano, sullo schermo compariva il messaggio di accesso negato.
Fin qui, tutto sembrava regolare. Il punto è che, dietro le quinte, le API continuavano a rispondere anche agli account senza i privilegi necessari. Bastava osservare le richieste HTTP generate dall’applicazione e chiamare direttamente gli endpoint. “L’interfaccia diceva no, il server rispondeva sì”, ha riassunto in sostanza la ricercatrice. È la classica falla di Broken Access Control, una categoria che OWASP indica da anni tra i rischi più comuni e più pericolosi per le applicazioni web. Non serviva una tecnica raffinata. Serviva, semplicemente, che il server non facesse il controllo decisivo.
Stream RTMP, dati di gara e strumenti broadcast esposti
Tra le piattaforme raggiungibili, secondo la documentazione pubblicata, c’era la Football Data Platform della FIFA, con pannelli legati alla gestione dei flussi video della Coppa del Mondo 2026. La ricercatrice ha riferito di aver visto informazioni su partite reali, feed multipli, configurazioni operative e risorse usate per distribuire le immagini dagli stadi. In alcuni casi comparivano riferimenti a stream RTMP, manifest HLS per le anteprime e parametri dell’infrastruttura fornita da MediaKind.
Dettagli sensibili, perché una chiave RTMP può identificare una sorgente autorizzata a trasmettere verso un endpoint di streaming. Se non protetta da altri controlli, una credenziale di questo tipo può esporre il sistema a tentativi di accesso o interferenza. BobDaHacker ha precisato di non aver eseguito test invasivi sui sistemi di produzione, limitandosi a verificare che quelle risorse fossero raggiungibili. Nel materiale visionato comparivano anche strumenti per statistiche in tempo reale, dati su formazioni, possesso palla, eventi di gara e informazioni editoriali pensate per i commentatori televisivi. Materiale operativo, in sostanza: quello che durante una diretta alimenta grafiche, cronache e lavoro delle redazioni.
Segnalazione difficile, patch rapida e lezioni di sicurezza
La parte più complicata della vicenda riguarda la segnalazione della vulnerabilità. BobDaHacker ha raccontato di aver provato diversi canali prima di riuscire a far arrivare l’allarme alle persone giuste, coinvolgendo anche aziende partner e autorità competenti, tra cui CISA e FBI. “Hanno risolto il problema senza mai rispondermi”, ha scritto la ricercatrice, spiegando di aver dovuto chiamare FIFA, MediaKind, HBS e autorità statunitensi “alle 3 del mattino, ora di Tokyo” per farsi ascoltare.
Secondo il report, la correzione è arrivata nel giro di poche ore: dopo la patch, gli endpoint backend hanno iniziato a restituire errori HTTP 403 agli account non autorizzati. Il caso ribadisce una regola nota, ma spesso dimenticata: autenticazione e autorizzazione non sono la stessa cosa. Sapere chi è un utente non basta; ogni richiesta deve essere controllata dal server, a prescindere da ciò che mostra l’interfaccia. Per organizzazioni che gestiscono eventi globali, una Vulnerability Disclosure Policy chiara e un file security.txt possono fare la differenza tra una falla chiusa in tempo e un incidente difficile da contenere. Qui, stando a quanto emerso, il danno è stato evitato. Ma il margine era sottile.
