近日，安全研究员 BobDaHacker 披露了其在 2026 年世界杯期间发现的一项严重网络安全漏洞，可以使未经授权的人员能够访问 FIFA 内部多个关键生产系统，甚至具备劫持世界杯实时直播信号的潜力。据该研究员描述，他在 FIFA 官方的“足球经纪人平台”注册并获得认证后，其账户被自动添加至 FIFA 的 Microsoft Entra租户中。尽管前端界面对该账户显示“访问被拒绝”，但系统并未在后端 API 层面进行严格的权限验证。研究员通过绕过前端限制，成功进入了包括“足球数据平台”和“评论员信息系统”在内的多个内部管理后台。随后，他能够直接获取所有世界杯比赛的实时 RTMP 推流地址、摄像机预览流以及广播输出流，及系统的控制权限。这意味着攻击者只需通过简单的操作，便可将这些直播信号替换为其他画面，在全球观众观看世界杯比赛期间进行非法干扰。此外，研究员还获得了访问比赛实时统计数据、调整战术阵容以及查看内部敏感文件的权限，甚至能够对比赛的实时数据记录进行修改。

—— BobDaHacker