一位普通用户在国际足联官网注册足球经纪人资格后，被自动加入 FIFA 统一身份系统。随后，他发现自己可以访问多个内部平台，包括 2026 世界杯的转播管理系统，并看到了比赛直播流、推流地址、推流密钥以及部分直播管理功能。@Appinn

这个故事再次验证：全世界都是草台班子！

故事发生 bobdahacker 的博客里，感兴趣的同学可以看看原文。以下内容改编自该博客内容。

---

插播开始

一个世界杯订阅日历：：https://f.appinn.com/fifa-world-cup-2026.zh.ics

小米、OPPO 兼容地址：https://f.appinn.com/fifa-world-cup-2026.compat.ics

带进球、国旗，更新更快赞助版本：https://kutt.appinn.com/fifa2026

效果如下：

插播结束

---

注册国际足联足球经纪人资格

事情的起因非常简单，作者在国际足联的足球经纪人平台（agents.fifa.org）注册账号，准备申请足球经纪人资格。

按照要求上传身份证、完成验证。在经过了三次上传证件和自拍（身份证照片光线不符合要求），才审理通过审核。

作者收到确认邮件，获得了一个普通的经纪人平台注册账号。

被加入 FIFA 统一身份系统

注册完成后，作者发现自己的账号被加入了 FIFA 的 Microsoft Entra 租户。

这并不是单独服务于经纪人平台的账号系统，而是 FIFA 多个内部平台共用的统一身份系统。

一个看起来正常的拒绝页面

随后，作者访问了另一个 FIFA 网站（fdp.fifa.org），页面提示：你没有被分配任何权限。

至此，看起来一切正常。普通用户访问内部系统，被拒绝访问，本来就应该如此。

但进一步检查后，他发现这个权限判断只存在于网页前端：前端显示“无权限访问”，后端却返回了真实数据！

欢迎进入世界杯转播系统

绕过客户端保护后，他进入了流媒体管理面板。作者说他惊掉了下巴：

因为他看到了：2026 年国际足联世界杯的每一场比赛。带流媒体控制功能。

这不是测试，这是正在使用的 2026 年国际足联世界杯转播管理后台：每场比赛、每个摄像机角度、每个 RTMP 推流 URL、每个推流密钥。

每场比赛都对应多个机位，包括主转播画面、战术镜头以及高位机位。

更关键的是，每个机位后面都挂着完整的推流信息，包括推流地址、推流密钥和预览链接。

这些流媒体信息由国际足联的流媒体技术合作伙伴 MediaKind 托管，这些端点接收来自美国、墨西哥和加拿大各地体育场的实时摄像机信号。

真·实时信号

为了测试，作者用 VLC 播放器打开了推流地址：

这是一场正在进行的 2026 年世界杯足球赛的实时战术摄像机画面。作者在东京，使用 VLC 播放。

作者立刻关掉了播放器，不过看到画面的那一刻，他已经意识到事情有多离谱。任何知道该 URL 的人，都可以访问这些实时画面。

不止是播放画面，还能控制播放

这不仅仅是读取权限。流媒体管理面板具有全面的控制功能。包括开始、停止、计划，以及每场比赛每个摄像机角度。

是的，你甚至可以在比赛开始的时候，停掉直播信号…

还能劫持每一台摄像机

如果一位攻击者获得了这个权限，他甚至能替换掉画面，同时劫持所有摄像机！

作者原话：「攻击者可以撬动整个国际足联世界杯。或者玩 “地铁冲浪 “游戏。现场直播在全球所有电视网络上在正在进行的比赛中」

还没完…这可能是最离谱的

除了画面，竞赛、比赛、球队、工具、交流平台、分析仪表板、评论员信息系统、FIFA AI Pro、管理员都可以访问：

该平台还有一个完整的比赛直播仪表板，内嵌视频播放器、实时赛事时间轴和比赛官员数据：

科特迪瓦 vs 厄瓜多尔，现场直播。嵌入式视频、黄牌时间表、比赛官员。直播 “徽章不是装饰性的。

实时控球、尝试创建分解、球回收时机、覆盖距离以及 FIFA AI Pro 集成

连比赛数据也能修改

部分系统甚至提供编辑功能，包括比赛统计数据、评论内容、阵容信息以及其他赛事数据。

出席人数、控球率、赛后统计、球队注册统计、分析完成、比分和统计、调整开球时刻、表现数据、发送战术阵容、赛事入口详情

总结一下，攻击者可以修改：

• 编辑评论说明并将其发布到广播系统中
• 调整正式开球时刻
• 发送战术阵容数据
• 更改比分和比赛统计

这些数据将输入解说员信息系统，并在电视直播中显示。

评论员信息系统

这也是个有趣的信息，解说员可以在比赛中访问到这个页面：

2026 年国际足联世界杯仪表盘。即时比分、即将举行的比赛、比赛结果。

科特迪瓦 vs 厄瓜多尔，第 75 分钟。全面战术视图，包括球员位置、阵型、实时数据、换人时间表和球队数据。

当解说员说 “有趣的事实是，36 岁零 222 天的恩纳-瓦伦西亚是代表厄瓜多尔参加世界杯的最年长的外场球员”

作者的账户可以看到为每场比赛准备的每一篇社论、每一套赛前统计资料和每一个话题。

…

还有额外暴露的开发环境

作者还发现一个公开暴露的 Azure 开发环境，其中保存着多个内部文件。包括转会报告、收入比较、董事会代表数据、裁判和教练统计数据，以及 Debbie.xlsx 文件

向国际足联报告漏洞才是噩梦

发现问题后，作者开始联系国际足联…

• 尝试 1：5封电子邮件：没有回应
• 尝试 2：WhatsApp：国际足联技术与数据主管，没有回复。
• 尝试 3：国际足联总部电话：致电 +41 43 222 7777 已关机。
• 尝试 4：国际足联媒体热线：致电 +41 43 222 7272 也已关闭。
• 尝试 5：达拉斯会议中心：致电IBC（国际广播中心），收到语音信箱，留了言。
• 尝试 6：拨打 MediaKind（FIFA转播技术提供商）电话，有人接，他们立即明白了问题所在，作者通过电子邮件发送详细资料，并附上流密钥作为证据。
• 尝试 7：致电HBS（主机广播服务），他们说没有人可以帮忙。
• 尝试 8：致电Infront Sports & Media（HBS 的母公司），无人接听。
• 尝试 9：致电CISA（网络安全和基础设施安全局，世界杯网络安全牵头机构），接听了电话，依旧要求通过电子邮件提供详细信息
• 尝试 10：联邦调查局：作者有熟人，通过 Signal 给他们发了消息。他们回复说他们有联系人，需要转发信息

猜测，有效的沟通是 MediaKind 和 CISA。

第二天漏洞被修复

第二天，相关漏洞被修复。原本能够访问的接口开始返回真正的 403 权限错误。

国际足联没有公开回应此事，也没有向作者发送任何正式回复。

但至少，他们终于把门锁上了。