Chỉ cần một chiếc CMND: Tôi đã có thể chiếm quyền phát sóng World Cup 2026

Tôi đã có thể phát đoạn clip "Rickroll" cho hàng tỷ khán giả xem World Cup. Và tất cả những gì tôi cần chỉ là một chiếc CMND.

Họ đã khắc phục sự cố mà không bao giờ phản hồi lại tôi. Tôi đã phải gọi cho FIFA, MediaKind, HBS, CISA và cả FBI vào lúc 3 giờ sáng theo giờ Tokyo chỉ để khiến ai đó lắng nghe. Đây là câu chuyện về hành trình đó.

Bắt đầu từ việc đăng ký đại lý bóng đá

FIFA có một nền tảng gọi là FIFA Agent Platform. Đây là cổng thông tin công cộng nơi bạn có thể đăng ký để trở thành một đại lý bóng đá được cấp phép. Bạn chỉ cần gửi CMND, xác nhận email và xong việc. Đơn giản phải không?

Xác nhận đăng ký FAP

Điều tôi không mong đợi là những gì xảy ra tiếp theo. Khi bạn đăng ký trên agents.fifa.org, FIFA sẽ thêm tài khoản của bạn vào tenant Microsoft Entra (trước đây là Azure AD) của họ. Đó chính là tenant cung cấp năng lượng cho tất cả các nền tảng nội bộ của FIFA. Và tôi nói là tất cả.

Hai lần thử đầu tiên của tôi thực sự đã thất bại vì ánh sáng trong ảnh CMND không đủ tốt: "Đăng ký thất bại trong bước cuối cùng kiểm tra danh tính của bạn." — Rõ ràng FIFA có tiêu chuẩn cao hơn cho ảnh selfie của tôi so với bảo mật thực tế của họ.

Nhưng lần thử thứ ba đã thành công. Và tôi nhận được email xác nhận với chủ đề: "FIFA - FAP - CONFIRMATION". Có, nền tảng Đại lý của FIFA chính thức được gọi là FAP. Tôi không thể bịa ra cái này đâu. FAP CONFIRMATION. Tiếp tục nào.

Thông báo "Từ chối truy cập" mà không thực sự từ chối

Sau khi đăng ký, tôi thử truy cập vào fdp.fifa.org — Nền tảng Dữ liệu Bóng đá của FIFA. Ứng dụng này xác thực tôi thông qua tenant Entra chia sẻ, kiểm tra vai trò của tôi, thấy rằng tôi không có vai trò nào và hiển thị:

"Xin lỗi, tài khoản của bạn không được gán bất kỳ vai trò nào của Nền tảng Dữ liệu Bóng đá FIFA."

Trông có vẻ hoạt động đúng chứ? Từ chối truy cập. Đi chỗ khác. Không có gì để xem ở đây.

Tuy nhiên, tất cả những điều này chỉ diễn ra ở phía client (trình duyệt). Ứng dụng Angular kiểm tra JWT để tìm đánh dấu NO_ROLES (không có vai trò) và hiển thị trang từ chối truy cập. Nhưng các API phía sau thì không kiểm tra bất cứ điều gì. Chúng chỉ phục vụ bất cứ thứ gì bạn yêu cầu.

Chào mừng đến với Bảng điều khiển Quản lý Phát sóng

Sau khi vượt qua các rào cản phía client, tôi đã tiếp cận được Bảng điều khiển Quản lý Phát sóng (Streaming Management panel). Và tôi thực sự sốc.

Mỗi trận đấu của FIFA World Cup 2026. Với các điều khiển phát sóng đầy đủ.

Đây không phải là môi trường dev hay dữ liệu thử nghiệm. Đây là bảng điều khiển phát sóng sản xuất thực tế cho FIFA World Cup 2026. Mỗi trận đấu. Mọi góc máy. Mọi URL ingest RTMP. Mọi stream key.

Tổng quan bảng điều khiển phát sóng

Hãy mở rộng một trong những trận đấu đó để bạn thấy ý tôi:

Mỗi trận đấu có năm góc máy: PGM (Chương trình chính), Chiến thuật, Camera 1, Cao phía sau trái, Cao phía sau phải.

Mỗi góc máy có:

• Một URL ingest RTMP (nơi camera gửi video ĐẾN).
• Một bản xem trước (nơi bạn có thể XEM luồng).
• Một URL đầu ra (bản kê HLS gửi đến các đối tác phát sóng).

Các URL ingest RTMP trông giống như sau: rtmp://in-6c81fc99-513f-4c76-82c2-877e0b93f2ea.westeurope.streaming.mediakind.com:1935/...

UUID ở cuối? Đó là stream key (khóa luồng). Nó được chia sẻ trên cả năm góc máy của cùng một trận đấu. Một khóa để cai trị tất cả.

Hạ tầng phát sóng được lưu trữ trên MediaKind, đối tác công nghệ phát sóng của FIFA. Đây là các điểm cuối sản xuất thực tế. Những điểm tiếp nhận nguồn cấp video trực tiếp từ các sân vận động trên khắp Hoa Kỳ, Mexico và Canada.

Tôi đã mở VLC. Nó là trực tiếp.

Tôi phải xác nhận rằng các bản xem trước thực sự hoạt động. Vì vậy, tôi đã sao chép một cái vào VLC.

Xem trực tiếp trên VLC

Đó là nguồn cấp camera chiến thuật trực tiếp từ một trận đấu World Cup 2026 đang diễn ra. Đang phát trên VLC. Trên PC của tôi. Tại Tokyo.

Tôi đã đóng nó ngay lập tức. Nhưng thiệt hại đã xảy ra (đối với não bộ của tôi). Những URL xem trước đó phục vụ video trực tiếp. Trong các trận đấu đang diễn ra. Cho bất kỳ ai có URL.

Tôi đã có thể dừng các luồng phát sóng

Không chỉ là quyền đọc. Bảng điều khiển Quản lý Phát sóng có các điều khiển đầy đủ. Bắt đầu, dừng, lên lịch. Cho mọi trận đấu. Mọi góc máy.

Chỉ một cú nhấp chuột. Đó là tất cả những gì cần thiết để giết chết nguồn cấp camera World Cup trực tiếp.

Tôi đã không chạm vào bất kỳ điều khiển nào trong số này. Nhưng chúng ở đó. Hoạt động tốt. Chờ đợi bất kỳ ai có tài khoản NO_ROLES nhấn vào chúng.

Phương án hạt nhân

Hãy để tôi giải thích ý nghĩa của điều này.

Những URL ingest RTMP đó là đường ống thực tế từ camera sân vận động đến chuỗi phân phối phát sóng của FIFA. Camera -> RTMP ingest -> MediaKind -> đối tác phát sóng -> TV của bạn.

Nếu một kẻ tấn công đẩy video đến một trong các điểm cuối RTMP đó bằng stream key (được HIỆN DIỆN ngay trong URL), họ sẽ thay thế nguồn cấp camera. Nguồn cấp PGM là đầu ra phát sóng chính. Thay thế nó, và mọi mạng lưới truyền hình nhận nguồn cấp FIFA sẽ hiển thị bất cứ thứ gì bạn đẩy.

Stream key được chia sẻ trên cả năm góc máy mỗi trận đấu. Một kẻ tấn công duy nhất có thể không gian chiếm đoạt mọi camera đồng thời.

Một kẻ tấn công có thể đã "rickroll" cả World Cup FIFA. Hoặc phát gameplay Subway Surfers. Trực tiếp. Trên mọi mạng lưới truyền hình trên toàn thế giới. Trong một trận đấu đang diễn ra.

Tôi đã không kiểm chứng điều này. Tôi đã không đẩy bất cứ thứ gì đến bất kỳ điểm cuối RTMP nào. Nhưng hạ tầng đó hoàn toàn mở.

Nhưng chờ đã, còn nhiều hơn thế

Bảng điều khiển Quản lý Phát sóng không phải là thứ duy nhất bị lộ. Tài khoản NO_ROLES của tôi có quyền truy cập vào toàn bộ nền tảng.

Các cuộc thi, Trận đấu, Đội bóng, Công cụ, Nền tảng Trao đổi, Bảng điều khiển Phân tích, Hệ thống Thông tin Bình luận viên, FIFA AI Pro, Quản trị viên. Tất cả đều có thể truy cập được.

Nền tảng cũng có bảng điều khiển trận đấu trực tiếp đầy đủ với trình phát video nhúng, dòng thời gian sự kiện thời gian thực và dữ liệu quan chức trận đấu.

Quản lý trận đấu (Quyền ghi)

Đây là nơi mọi thứ tồi tệ hơn. Tab Quản lý trên fdp.fifa.org có các thao tác ghi. Và backend chấp nhận chúng từ tài khoản NO_ROLES.

Một kẻ tấn công có thể:

• Sửa đổi ghi chú bình luận biên tập và xuất bản chúng lên hệ thống phát sóng.
• Điều chỉnh thời điểm khai mạc chính thức.
• Gửi dữ liệu đội hình chiến thuật.
• Thay đổi điểm số và thống kê trận đấu.

Dữ liệu này được đưa vào Hệ thống Thông tin Bình luận viên và hiển thị trên truyền hình trực tiếp.

Cơn ác mộng khi báo cáo sự cố

Vì vậy, tôi đã tìm thấy tất cả những điều này trong khi World Cup đang diễn ra. Các trận đấu đang diễn ra. Các URL RTMP đang hoạt động. Stream key bị lộ. Và FIFA không có chương trình tiền thưởng lỗi (bug bounty), không có security.txt và không có liên hệ bảo mật được công bố.

Điều tiếp theo là đêm căng thẳng nhất trong cuộc đời tôi.

Tôi đã gửi tiết lộ đầy đủ cho mọi email FIFA tôi có thể tìm thấy hoặc đoán. Năm cái trong số đó bị trả lại. Phần còn lại rơi vào hư vô. Không có phản hồi.

Tôi đã tìm thấy Sebastian Runge (Trưởng bộ phận Công nghệ & Dữ liệu Bóng đá tại FIFA) trên LinkedIn. Số điện thoại của anh ấy được liệt kê. Tôi đã WhatsApp cho anh ấy. Không có phản hồi.

Tôi đã gọi trụ sở FIFA, đường dây truyền thông FIFA, Trung tâm Hội nghị Dallas... Đều không thành công.

Phá vỡ bế tắc với MediaKind:

Đây là bước đột phá. Tôi đã gọi đường dây miễn phí của MediaKind. Có người bắt máy. Họ hiểu vấn đề ngay lập tức. Họ yêu cầu tôi gửi chi tiết với các stream key làm bằng chứng. Tôi đã làm.

Sau đó, tôi đã gọi CISA (Cơ quan An ninh mạng và An ninh Hạ tầng), cơ quan liên bang dẫn đầu về an ninh mạng cho FIFA World Cup 2026. Họ đã lắng nghe và yêu cầu báo cáo.

Cuối cùng, tôi nhắn tin cho các liên hệ tại FBI. Họ phản hồi và nói rằng họ có các liên hệ và cần đóng gói thông tin theo đúng cách.

Nguyên nhân gốc rễ

Vấn đề toàn bộ sự việc boils down to một sai lầm kiến trúc: ủy quyền phía client mà không có thực thi phía server.

Các ứng dụng nội bộ của FIFA sử dụng Microsoft Entra để xác thực và kiểm soát quyền truy cập dựa trên vai trò. Các giao diện người dùng Angular/React/Vue kiểm tra mã thông báo JWT để tìm các yêu cầu vai trò và hiển thị các trang từ chối truy cập tương ứng. Nhưng các API phía backend tin tưởng bất kỳ thành viên tenant nào đã được xác thực và phục vụ dữ liệu bất kể vai trò.

Chuỗi tấn công:

1. Đăng ký trên agents.fifa.org (công khai).
2. Được thêm vào tenant Entra của FIFA.
3. Xác thực chống lại bất kỳ ứng dụng nội bộ nào của FIFA.
4. Client nói "truy cập bị từ chối".
5. Server nói "đây là tất cả mọi thứ".

Bản sửa lỗi

Vào một thời điểm nào đó giữa các báo cáo của tôi và sáng hôm sau, lỗ hổng đã được vá. Tài khoản NO_ROLES của tôi hiện trả về phản hồi 403 từ máy chủ, không chỉ từ client.

FIFA chưa bao giờ phản hồi. Không để thừa nhận báo cáo. Không để nói cảm ơn. Không để thảo luận về bồi thường. Không có gì cả.

Nhưng họ đã giữ tôi trong danh sách phân phối email FDP. Tôi vẫn đang nhận các tài liệu trận đấu chính thức của FIFA World Cup 2026: Danh sách xuất phát, Đội hình chiến thuật, Báo cáo trận đấu Full Time. Tất cả được gửi từ một địa chỉ FIFA chính thức. Bằng bốn ngôn ngữ.

Lời khuyên cho FIFA

Các bạn đã sửa nó rất nhanh. Công nhận điều đó là xứng đáng. Nhưng:

• Hãy tạo một tệp security.txt. Nghiêm túc nhé. Bây giờ là năm 2026.
• Xuất bản một VDP (Chính sách Tiết lộ Lỗ hổng). Các bạn đang tổ chức sự kiện thể thao lớn nhất hành tinh.
• Ủy quyền phía client không phải là ủy quyền. Mọi thực tập sinh đều biết điều này.
• Khi một nhà nghiên cứu phải gọi CISA và FBI để tiếp cận các bạn, có gì đó sai sai.

"Tôi vẫn đôi khi nghĩ về những stream key RTMP đó. Ở đâu đó trong một vũ trụ song song, hàng tỷ người đang xem gameplay Subway Surfers trong trận chung kết World Cup. Tất cả những gì cần thiết chỉ là một chiếc CMND."