Uma vulnerabilidade grave nos sistemas digitais da FIFA permitiu que qualquer pessoa com um cadastro básico assumisse o controle total das transmissões ao vivo da Copa do Mundo de 2026, incluindo a capacidade de substituir imagens exibidas para milhões de telespectadores, alterar placares em tempo real e interromper jogos.
A falha foi descoberta pela “hacker ética” conhecida como “BobDaHacker”, que relatou o problema às autoridades dos EUA após não conseguir contato direto com a entidade. Após o alerta, as falhas foram resolvidas.
Mecanismo da brecha
A exploração da vulnerabilidade exigia apenas um registro simples no portal público de agentes da FIFA. Ao criar uma conta com documentos básicos e um e-mail válido, o usuário era automaticamente adicionado ao locatário corporativo do Microsoft Entra da organização, que gerencia o acesso a todas as plataformas internas.
Embora a interface visual do sistema exibisse mensagens de “acesso negado” para usuários sem privilégios, as APIs no servidor não realizavam nenhuma verificação de permissão. Logo, isso permitia que qualquer agente registrado acessasse painéis restritos, incluindo o sistema de gestão de streaming que controla o feed de vídeo enviado para emissoras de TV em todo o mundo.
“A parte frontal do site dizia ‘não entre’, mas o servidor backend abria todas as portas”, explicou a pesquisadora em seu relatório técnico.
Risco de sabotagem em massa
O acesso não autorizado concedia controle irrestrito sobre a infraestrutura de transmissão da Copa. Segundo o relatório, um atacante poderia ter executado ações disruptivas massivas. A mais grave era a possibilidade de sequestrar o sinal, podendo substituir o feed oficial por conteúdo arbitrário, como vídeos ofensivos em todas as televisões que estivessem sintonizadas nos jogos.
A pesquisadora destacou que as chaves de transmissão eram compartilhadas entre todas as cinco câmeras de uma mesma partida. “Um único atacante poderia sequestrar todas as câmeras ao mesmo tempo. Alguém poderia ter feito um ‘rickroll’ na Copa do Mundo inteira”, alertou.
Criticas à falta de transparência
A vulnerabilidade foi mitigada poucas horas após a denúncia. No entanto, mesmo com algo tão grave como uma falta de segurança dessas proporções vazando, a FIFA ficou em silêncio.
Devido à ausência de um canal formal de denúncia de falhas, a pesquisadora foi obrigada a contatar agências federais dos EUA, incluindo a Agência de Cibersegurança e Infraestrutura (CISA) e o FBI, para garantir que a falha fosse tratada com a urgência necessária.
