
FIFA 直播內部系統出事:點解前端權限檢查唔夠用
漏洞已修補,重點係 API 授權同 stream key 點樣保命。
TechCrunch 報道,安全研究員 BobDaHacker 稱佢註冊 FIFA 嘅公開球員代理平台之後,被加入同一個 Microsoft Entra tenant,之後可以登入多個 FIFA 內部平台。前端畫面有話佢冇角色、冇權限,但後端 API 仍然回資料。研究員話受影響範圍包括世界盃直播管理、評述員資料系統同一啲內部文件;TechCrunch 指 FIFA 未即時回應查詢。研究員亦話,佢匯報後幾小時問題已修補,後端已經會回 403。
Login 只係第一步
呢件事嘅重點唔係「有人識入後台」咁簡單。Microsoft Entra tenant 可以當成一個機構嘅身份邊界:你係邊個、屬於邊個 directory、token 入面有咩 claims,都係身份驗證同授權嘅材料。但 login 成功只代表「認得你」,唔代表「你可以做呢件事」。如果公開平台會將外部用戶放入同一個 tenant,後端 API 就更加要逐個資源檢查 audience、tenant、subject、roles / scopes 同操作權限。前端 route guard 只係 UI,唔可以當安全閘。

圖片:FIFA
直播系統牽連範圍好大
FIFA 官方資料講,今屆世界盃 Dallas International Broadcast Centre 係全球廣播運作中樞,HBS 係指定 host broadcaster,現場會支援大量 broadcast media 同合作方。Lenovo 亦講到佢哋喺 IBC 同場館部署大量硬件,處理低延遲 IPTV、直播 feed 同操作監控。喺呢種環境,streaming management panel 入面嘅 RTMP ingest URL、stream key、開始 / 停止控制,已經唔係普通 dashboard 按鈕。呢啲嘢一旦畀錯人睇到或者操作到,影響可以由內部預覽擴散到合作 broadcaster 嘅訊號鏈。
研究員 blog 入面有更多細節,包括佢聲稱曾見到直播預覽同多個鏡頭 feed 管理。不過呢啲技術細節主要來自研究員嘅講法,本文唔重現實際 endpoint、key 或截圖。安全角度已經夠清楚:stream key 要當密碼處理,唔應該長期明文掛喺前端可讀資料;直播控制亦要有 server-side access control、審計記錄、最小權限同快速撤銷機制。靠「畫面唔顯示按鈕」守住生產系統,係好危險嘅設計。

圖片:FIFA
評述資料都係生產系統
另一個容易被低估嘅位係 Football Data Platform 同 Commentator Information System。FIFA 自己介紹過,佢哋嘅 football data ecosystem 會用多層資料收集同處理,將 live event、位置、比賽資料送到球隊、媒體同 broadcaster。呢啲資料未必似「改直播畫面」咁刺激,但如果有人可以改官方統計、戰術 lineup、評述 notes 或比賽事件,電視旁述同畫面 graphic 都可能被污染。大型賽事嘅可信度,唔只靠鏡頭,亦靠背後資料管線唔被亂改。
對開發者同公司 IT,呢單嘢有幾個實用提醒:
- API 要自己做授權,唔好信前端已經擋咗。
- 角色、scope、object-level 權限要喺每個敏感操作檢查,預設拒絕。
- stream key、preview URL、admin action 要分級保護、短有效期、可輪換。
- 公開註冊平台同內部營運平台最好有清晰隔離,至少唔好共享過闊嘅 tenant trust。
FIFA 修補得快,呢點值得記低;但研究員話佢最初搵唔到清楚嘅漏洞匯報渠道,要一路搵 vendor 同政府安全單位,呢個流程本身都係警號。大型活動嘅 cybersecurity 唔淨係 DDoS、防 phishing 同 SOC 大屏幕,仲有一堆好悶但要命嘅 API 決策。當一個「冇角色」帳號都攞到生產資料,後面再多 AI、低延遲直播同國際轉播網,都只係放大同一個錯。
參考來源
- TechCrunch — Bug in FIFA World Cup internal system gave anyone ability to modify TV stream — original report
- I Could've Rickrolled the Entire FIFA World Cup. All I Needed Was My ID. — 研究員原帖,提供 Entra tenant、API 授權、RTMP stream key 同匯報時間線等技術背景;本文避免重現敏感 endpoint 或 key。
- FIFA World Cup 26™ International Broadcast Centre to be hosted in Dallas — FIFA 官方資料,確認 IBC、HBS、全球廣播運作中樞同約 2,000 名 broadcast media 代表等背景。
- FIFA World Cup 2026™ International Broadcast Centre opens in Dallas — FIFA 官方開幕稿,補充 IBC 角色、180 broadcasters、Lenovo 技術支援同低延遲 IPTV 背景。
- Lenovo Technology Powers FIFA World Cup 2026™ Operations and Strengthens AI-Driven Broadcast — 官方合作伙伴資料,說明今屆賽事直播、IPTV、AI 同操作監控基建規模。
- Football Data Ecosystem — FIFA 相關官方頁,解釋 Football Data Platform 同 live data pipeline 點樣支援球隊、媒體同 broadcaster。
- Secure applications and APIs by validating claims — Microsoft Learn 官方文件,支撐 API 需要驗證 token claims、tenant、audience 同 actor 授權嘅解讀。
- API1:2023 Broken Object Level Authorization — OWASP API Security Top 10 背景,說明 API endpoint 必須做 object-level authorization 檢查。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







