一名化名 BobDaHacker 的網絡安全研究員早前披露,FIFA 在 2026 世界盃期間出現嚴重保安漏洞,任何人只要在公開的球員經紀註冊平台提交身分證明文件並完成電郵驗證,就能進入 FIFA 多個內部系統,當中包括掌控每場賽事電視直播訊號的串流管理介面。
研究員指出,這個漏洞令攻擊者有能力騎劫每場賽事的全部攝影機鏡頭,並把全球電視觀眾看到的畫面換成任意內容。她形容自己「本可以把整個世界盃變成 Rickroll 惡搞」。FIFA 在收到通報後數小時內修補問題,但至今沒有公開承認事件,也沒有回應研究員。這宗事故的核心並非高深的攻擊技術,而是一個許多企業都會犯下的基礎架構錯誤,對任何依賴雲端身分管理的機構都具有警示意義。
事件經過:一個帳戶打開了整座大門
研究員最初的目標只是註冊成為持牌球員經紀,她透過 agents.fifa.org 提交資料後,FIFA 系統自動把她的帳戶加進機構的 Microsoft Entra 租戶,而這個租戶同時支撐 FIFA 旗下幾乎所有內部平台。換言之,一個面向公眾的註冊入口,等於發出了一張通往內部系統的門票。
她其後嘗試進入 FIFA 的足球數據平台 fdp.fifa.org,前端介面顯示她「沒有任何角色權限」並彈出拒絕存取的畫面,表面看來防線運作正常。問題在於這道檢查只存在於瀏覽器一端,後端 API 根本沒有核實使用者是否真的擁有權限,無論誰提出要求都照單全收。研究員繞過前端的限制後,直接抵達串流管理介面,眼前出現的是 2026 世界盃每一場賽事的直播控制台。
後端 API 失守的技術核心
按照研究員的描述,每場賽事配置 5 個攝影機角度,包括主播訊號 PGM、戰術鏡頭以及多個高位機位,而這些鏡頭共用同一條串流金鑰。串流基建由 FIFA 的技術夥伴 MediaKind 營運,相關的 RTMP 接收網址正是把球場鏡頭接駁到全球轉播鏈的實際管道。研究員把其中一條預覽連結貼進 VLC 播放器後,確認畫面是正在進行賽事的即時戰術鏡頭,隨即關閉。她強調自己沒有觸碰任何控制按鈕,但介面本身具備開始、停止與排程的完整權限,任何持有空權限帳戶的人都能按下。
漏洞的根源歸結為一個架構決定,就是把授權檢查放在前端,卻沒有在伺服器一端設下對應的關卡。FIFA 的內部應用以 Microsoft Entra 處理身分驗證及角色管理,前端框架負責讀取權杖內的角色資料並決定顯示哪些畫面,但後端 API 卻信任任何通過驗證的租戶成員。攻擊鏈條因此簡單得驚人:在公開平台註冊、被加入租戶、向任何內部應用提出驗證、前端說「拒絕」、伺服器卻回應「全部奉上」。研究員發現同一模式至少影響 fdp.fifa.org、評述員資訊系統 cis.fifa.org,以及一個外洩的開發環境,後者更暴露了 23 個內部檔案的直接下載連結,涵蓋轉會報告、收入比較及球證教練統計等資料。
對企業的意義:客戶端授權從來不是授權
研究員在報告中強調:客戶端授權從來不是授權。許多企業在開發雲端應用時,傾向把使用者體驗放在前端打磨,讓沒有權限的使用者看不到敏感按鈕,卻誤以為「看不到」等於「碰不到」。真正的防線必須建立在伺服器一端,由後端 API 在每一次請求時獨立核實使用者的角色與權限。BobDaHacker 直言,這是「每個實習生都該學會」的基本功。
企業可以把這次事件當成一份免費的稽核清單。第一,任何把外部使用者與內部員工放進同一個身分租戶的設計都需要重新審視,因為一個面向公眾的註冊流程,可能無意中成為內部系統的入口。第二,企業應建立 security.txt 檔案及漏洞披露政策 VDP,為善意研究員提供清晰的通報途徑。研究員為了通報 FIFA,先後致電多個部門、在 WhatsApp 聯絡高層,最終要驚動美國網絡安全暨基礎設施安全局 CISA 與 FBI 才有人願意聆聽,整個過程耗費一整晚。第三,企業值得考慮設立漏洞獎勵計劃,因為研究員不應該要打電話給 FBI 才能替企業做好事。
世界盃成為網絡攻擊的磁石
多家威脅情報公司指出,2026 年初已有超過 13,000 個與 FIFA 相關的網域完成註冊,當中相當部分被標示為惡意或可疑,假冒的串流應用程式更在賽事開打後明顯增加,專門誘導球迷下載並竊取銀行憑證。安全分析機構區分了兩類風險,外部釣魚攻擊瞄準的是球迷與消費者,而 FIFA 自身內部系統的漏洞,威脅的卻是賽事本身的完整性,屬於完全不同層級的風險。
研究機構亦提醒,與伊朗及俄羅斯有關連的黑客組織具備發動干擾式攻擊的能力,即使只是短暫中斷,也可能被放大成損害主辦方聲譽的政治敘事。對一個橫跨美國、墨西哥及加拿大 16 個城市、合共 104 場賽事、預計吸引超過 500 萬球迷現場觀賽的超大型活動而言,數碼基建的每一個薄弱環節都可能被放大。
大型活動攻擊面正隨數碼化急速擴張
這宗事故顯示大型活動的攻擊面正隨數碼化而急速擴張,而最致命的破口往往不是最尖端的技術,而是最基礎的疏忽。隨著愈來愈多機構把身分驗證、串流、即時數據及內容發布全部搬上雲端,零信任架構不再是選項而是必需,每一個請求都應該在伺服器一端重新驗證,而非假設「已登入」就等於「獲授權」。
FIFA 雖然在數小時內完成修補,反應速度值得肯定,但它至今既沒有承認研究員的貢獻,也沒有交代補救細節,這種態度本身就值得其他企業引以為戒。漏洞可以快速修補,但缺乏通報渠道與善意研究員文化所帶來的信任缺口,需要更長時間才能彌合。對任何規模的企業而言,這次世界盃險被「惡搞」的事件都是一記清晰的提醒:技術投資固然重要,但若忽略授權邏輯這類基本功,再宏大的數碼系統也可能因為一張身分證而中門大開。
來源:TechCrunch
