Sadece benim kimliğimle FIFA Dünya Kupası’nın tamamında Rickroll çalınabiliyordu

• Herkese açık FIFA Agent Platform kaydıyla FIFA’nın Microsoft Entra tenant’ına girip 2026 FIFA World Cup operasyonları için kullanılan Football Data Platform’a ve yayın akışı yönetimi işlevlerine kadar erişilebiliyordu
• Sebep, JWT’deki NO_ROLES durumunun yalnızca frontend tarafından kontrol edilmesi ve backend API’nin rol zorlamaması olan istemci taraflı yetki denetimiydi
• Açığa çıkan Streaming Management panelinde maç başına 5 kamera akışının RTMP ingest URL’si, preview manifest’i, output URL’si ve stream key’i vardı; canlı preview akışı VLC’de oynatılabiliyordu
• Erişim kapsamı görüntülemenin ötesine geçerek maç akışını başlatma·durdurma·zamanlama, canlı istatistikler·başlama saati·skor·taktik diziliş gibi bazı yazma işlemlerini de kapsıyordu; ayrıca Commentator Information System ve geliştirme amaçlı Azure Function App de açıktı
• FIFA doğrudan yanıt vermedi, ancak bildirimden sonraki gün sunucu 403 döndürecek şekilde düzeltildi; araştırmacı security.txt, güvenlik açığı bildirim politikası, bug bounty ve sunucu taraflı yetki denetimi talep ediyor

Herkese açık Agent Platform kaydı iç erişime dönüştü

• FIFA Agent Platform, futbol menajeri lisans kaydı için kullanılan herkese açık bir portaldır; kimlik gönderimi ve e-posta doğrulamasıyla kayıt olunabiliyordu
• Kayıt tamamlandıktan sonra hesap FIFA’nın Microsoft Entra tenant’ına eklendi ve bu tenant FIFA’nın iç platformlarının genelinde kullanılıyordu
• Araştırmacı, kimlik fotoğrafındaki ışık sorunu nedeniyle iki kez başarısız olduktan sonra üçüncü denemede kayıt olmayı başardı
• Ardından fdp.fifa.org adresine girdiğinde Football Data Platform kimlik doğrulamayı kabul etti, ancak rolsüz olduğunu söyleyen bir ekran gösterdi
  • Ekranda hesabın “FIFA Football Data Platform role” yetkisine sahip olmadığına dair erişim reddi mesajı görünüyordu
  • Gerçek kontrol yalnızca Angular uygulamasının istemci taraflı render katmanında kalıyordu ve backend API istek verilerini döndürüyordu

Streaming Management panelinin açığa çıkması

• İstemci taraflı koruma atlatılınca 2026 FIFA World Cup için kullanılan operasyonel Streaming Management paneline erişilebildi
• Panelde tüm maçlar, kamera açıları, RTMP ingest URL’leri ve stream key’ler görünüyordu
• Her maç için 5 kamera akışı vardı
  • PGM
  • Tactical
  • Camera1
  • High Behind Left
  • High Behind Right
• Her akış şu bilgileri içeriyordu
  • Kameranın videoyu gönderdiği RTMP ingest URL
  • Akışın izlenebildiği preview manifest
  • Yayın partnerlerine iletilen HLS manifest’i olan output URL
• RTMP ingest URL’nin sonundaki UUID, stream key’di ve aynı maçın 5 kamera açısından biri ortak kullanılıyordu
• Streaming altyapısı, FIFA’nın yayın teknolojisi partneri MediaKind üzerinde barındırılıyordu ve ABD, Meksika ve Kanada’daki stadyumlardan gelen canlı kamera akışlarını alan operasyonel endpoint’ti

Canlı akışların doğrulanması ve akış kontrolü ihtimali

• Araştırmacı preview manifest’i VLC’ye yapıştırdığında Tokyo’daki bilgisayarından aktif bir maçın canlı tactical camera feed’ini oynatabildi
• Doğrulamadan hemen sonra akışı kapattı, ancak preview URL’nin aktif maçlar sırasında canlı videoyu sunduğu doğrulanmış oldu
• Streaming Management paneli yalnızca görüntüleme değil, start, stop, schedule gibi kontrol işlevleri de sağlıyordu
• Araştırmacı kontrol düğmelerine basmadı, ancak panelde tüm maçlar ve tüm kamera açıları için bu kontrol işlevleri görünüyordu
• RTMP ingest URL, stadyum kamerasından MediaKind ve yayın partnerlerine uzanan giriş yoluydu
  • Akış sırası kamera → RTMP ingest → MediaKind → yayın partneri → TV şeklindeydi
  • Bir saldırgan stream key ile birlikte RTMP endpoint’ine video push ederse kamera akışını değiştirebilirdi
  • PGM ana yayın çıkışı olduğundan, bunun değiştirilmesi FIFA akışını alan TV ağlarında saldırganın gönderdiği videonun görünmesine yol açabilirdi
• Araştırmacı herhangi bir RTMP endpoint’ine video push etmediğini özellikle belirtiyor

Football Data Platform’daki diğer işlevlerin açığa çıkması

• NO_ROLES hesabı, Streaming Management dışında Football Data Platform’un birçok alanına da erişebiliyordu
  • Competitions
  • Matches
  • Teams
  • Tools
  • Exchange Platform
  • Analysis Dashboard
  • Commentator Information System
  • FIFA AI Pro
  • Admin
• Canlı maç dashboard’u yerleşik bir video oynatıcı, gerçek zamanlı etkinlik zaman çizelgesi ve maç görevlisi verilerini içeriyordu
• Örnek olarak Côte d'Ivoire vs Ecuador maçı canlı olarak görünüyordu; sarı kart zaman çizelgesi ve match officials bilgileri de yer alıyordu
• Advanced Analytics içinde live possession control, attempt creation breakdowns, ball recovery timing, distance covered ve FIFA AI Pro entegrasyonu bulunuyordu

Maç yönetimi yazma işlemleri ve yayın verisi etkisi

• fdp.fifa.org üzerindeki Management sekmesinde yazma işlemleri vardı ve backend NO_ROLES hesabından gelen istekleri kabul ediyordu
• “Update Live Stats” ekranında rich text editor, maç saati, maç skoru alanları ve Edit and Publish düğmesi bulunuyordu
• Erişilebilen yönetim öğeleri şunlardı
  • Attendance
  • Possession
  • Post Match Statistics
  • Team Registration Statistics
  • Analysis Finished
  • Score and Statistics
  • Adjust Kick-off Moment
  • Performance Data
  • Send Tactical Lineup
  • Event Ingress Details
• Bir saldırgan şunları yapabilirdi
  • Yayın sistemine iletilen editorial commentary notes’u düzenleyip yayımlamak
  • Resmî başlama saatini ayarlamak
  • tactical lineup data göndermek
  • Skoru ve maç istatistiklerini değiştirmek
• Bu verilerin Commentator Information System’e aktarıldığı ve canlı TV’de gösterildiği belirtiliyor

Commentator Information System’e erişim

• cis.fifa.org adresine de NO_ROLES hesabıyla erişilebiliyordu
• Bu sistem, canlı maçlar sırasında yayın yorumcularının kullandığı gerçek zamanlı bir dashboard’du
• 2026 FIFA World Cup dashboard’unda canlı skorlar, planlanmış maçlar ve sonuçlar gösteriliyordu
• Côte d'Ivoire vs Ecuador maçının 75. dakikasındaki ekranda taktik görünüm, oyuncu konumları, formasyon, canlı istatistikler, oyuncu değişikliği zaman çizelgesi ve kadro verileri yer alıyordu
• Hesap üzerinden yorumcular için editorial note, pre-match stats kit ve talking point’ler de görülebiliyordu

Geliştirme ortamındaki Azure Function App’in açığa çıkması

• Araştırmacı xxxxxxxxx-spreadsheets-api.azurewebsites.net biçiminde bir Azure Function App de buldu
• Bu API, FIFA içindeki 23 dosyanın metadata’sını ve Azure Blob Storage üzerinden doğrudan indirme URL’lerini döndürüyordu
• Yanıtta 00_TransferCount_in_ENGLISH.xlsx, 0_pending_transfers_example.xlsx, Debbie.xlsx gibi dosya adları yer alıyordu
• Dosya içeriklerinde transfer raporları, gelir karşılaştırmaları, yönetim kurulu düzeyi temsil verileri, hakem ve antrenör istatistiklerinden söz ediliyordu
• Bu API’de de rol denetimi yoktu

Bildirim girişimleri ve iletişim kanalları

• Araştırmacı sorunu Dünya Kupası sürerken keşfettiğini, ancak FIFA’nın bir bug bounty programı, security.txt dosyası ya da herkese açık bir güvenlik iletişim kanalı olmadığını söylüyor
• Çeşitli FIFA e-posta adreslerine ve çalışan e-postalarına tam bildirimi gönderdi, ancak 5 tanesi geri döndü ve kalanlardan yanıt gelmedi
• LinkedIn üzerinden FIFA Head of Football Technology & Data pozisyonundaki Sebastian Runge’yi bulup WhatsApp’tan ulaştı, ancak yanıt alamadı
• FIFA’nın Zürih merkezini ve FIFA medya hattını aradı, fakat Zürih’te pazar akşamı olduğu için kapalıydı
• International Broadcast Centre’ın bulunduğu Dallas’taki Kay Bailey Hutchison Convention Center’ı da aradı, ancak sesli mesaja düştü
• MediaKind’ın ücretsiz hattına ulaşıldı; ilgili kişi sorunu hemen anlayıp stream key içeren ayrıntıların e-postayla gönderilmesini istedi
• HBS arandı, ancak yardımcı olabilecek kimse olmadığı söylenerek görüşme sonlandırıldı; tekrar aramalar bağlanmadı
• HBS’nin ana şirketi Infront Sports & Media da arandı, fakat ulaşılamadı
• Araştırmacı, yayın sistemleri de dahil 2026 FIFA World Cup siber güvenliğinde federal liderin CISA olduğunu doğrulayıp 7/24 çalışan merkeze ulaştı
  • CISA telefonu açtı ve ayrıntıların e-postayla iletilmesini istedi
• Daha önce siber güvenlik çalışmaları nedeniyle bildiği FBI bağlantısına da Signal üzerinden yazdı; FBI tarafı iletişim ağı bulunduğunu ve konunun uygun şekilde paketlenmesi gerektiğini söyledi

Düzeltmeden sonra da kalan açıklar

• Bildirim ile ertesi gün arasında açık düzeltildi ve araştırmacının NO_ROLES hesabı, istemci taraflı erişim reddi ekranı yerine artık sunucudan 403 yanıtı almaya başladı
• FIFA, bildirimi aldığına dair onay, teşekkür ya da ödül görüşmesi gibi doğrudan hiçbir yanıt vermedi
• Bununla birlikte araştırmacı hâlâ FDP e-posta dağıtım listesinde kaldığını ve 2026 FIFA World Cup’a ait resmî maç belgelerini aldığını söylüyor
  • Start Lists
  • Tactical Lineups
  • Full Time Match Reports
  • 4 dilde gönderilen belgeler

Kök neden: sunucu tarafında yetki zorlamasının olmaması

• Temel neden, sunucu taraflı yetki zorlaması olmadan yalnızca istemci tarafında yetki kontrolü yapılmasıydı
• FIFA iç uygulamaları kimlik doğrulama ve rol tabanlı erişim kontrolü için Microsoft Entra kullanıyordu, ancak frontend yalnızca JWT içindeki role claim’i kontrol edip erişim reddi ekranını render ediyordu
• Backend API ise sadece kullanıcının tenant içinde kimliği doğrulanmış bir üye olmasına güveniyor, rolünden bağımsız olarak veriyi döndürüyordu
• Saldırı akışı şu şekildeydi
  • agents.fifa.org üzerinde herkese açık kayıt
  • Hesabın FIFA Entra tenant’ına eklenmesi
  • FIFA iç uygulamalarında kimlik doğrulama
  • İstemcinin erişim reddi göstermesi
  • Sunucunun veriyi sağlaması
• Bu desen en az şu sistemleri etkiliyordu
  • fdp.fifa.org — Football Data Platform
  • cis.fifa.org — Commentator Information System
  • xxxxxxxxx-spreadsheets-api.azurewebsites.net — geliştirme ortamı
• Araştırmacı FIFA’dan security.txt dosyası, güvenlik açığı bildirim politikası (VDP), bug bounty programı ve sunucu taraflı yetki denetimi talep ediyor