Quando si parla di grandi eventi sportivi globali, l’immaginario collettivo corre subito agli stadi, alle telecamere, alle regie televisive e alle centinaia di milioni di spettatori collegati da ogni parte del mondo. Molto meno visibile è invece l’enorme infrastruttura digitale che permette a tutto questo di funzionare.
Eppure, secondo quanto raccontato dalla ricercatrice nota come BobDaHacker, sarebbe bastata una semplice registrazione come agente FIFA per ottenere accesso a sistemi interni capaci di influenzare direttamente la distribuzione delle immagini dei Mondiali di calcio 2026.
La storia inizia in modo apparentemente banale. La ricercatrice decide di iscriversi alla piattaforma pubblica utilizzata dalla FIFA per la registrazione degli agenti calcistici. Dopo aver completato il processo di verifica dell’identità, il suo account viene automaticamente inserito nel tenant Microsoft Entra utilizzato dall’organizzazione. Nulla di strano, almeno in apparenza.
Il problema emerge quando, esplorando altri portali appartenenti all’ecosistema FIFA, la ricercatrice scopre che l’autenticazione funziona correttamente ma l’autorizzazione no.
Si tratta di una delle vulnerabilità più comuni e allo stesso tempo più pericolose nel mondo delle applicazioni enterprise: il sistema verifica chi sei, ma non controlla adeguatamente cosa sei autorizzato a fare.
Nel caso specifico, alcune verifiche di autorizzazione sembravano essere implementate principalmente lato client. Una volta aggirati questi controlli, l’account appena creato riusciva ad accedere a piattaforme che avrebbero dovuto essere riservate esclusivamente al personale autorizzato.
La scoperta più preoccupante riguarda il pannello di gestione dello streaming dei Mondiali.
Secondo la documentazione pubblicata dalla ricercatrice, il sistema mostrava l’elenco completo delle partite del torneo, gli stream video associati, i relativi endpoint RTMP e diversi controlli operativi utilizzati per la gestione delle trasmissioni. Ancora più grave, sarebbero stati presenti comandi per l’avvio, l’arresto e la pianificazione dei flussi video.
BobDaHacker afferma di non aver mai eseguito operazioni distruttive e di essersi limitata a verificare l’accessibilità delle risorse. Tuttavia il semplice fatto che tali funzioni fossero raggiungibili da un account privo di privilegi rappresenta un classico scenario di “Broken Access Control”, categoria che da anni occupa le prime posizioni della classifica OWASP Top 10.
L’aspetto più interessante, dal punto di vista di chi si occupa di sicurezza applicativa, è che non siamo davanti a un sofisticato attacco zero-day, né a tecniche avanzate di exploitation.
Non ci sono buffer overflow, catene di exploit o vulnerabilità particolarmente esotiche.
L’intera vicenda sembra essere riconducibile a un errore architetturale estremamente semplice: un account legittimo appartenente al tenant aziendale veniva considerato implicitamente attendibile da sistemi che avrebbero invece dovuto effettuare controlli granulari sui ruoli e sulle autorizzazioni.
È un problema che molte organizzazioni incontrano quando adottano ecosistemi cloud complessi basati su Single Sign-On. L’autenticazione centralizzata riduce la complessità operativa, ma può trasformarsi in un rischio significativo quando le applicazioni downstream assumono che chiunque possieda un’identità valida debba poter accedere alle funzionalità disponibili. In altre parole, l’esistenza di un account non dovrebbe mai equivalere automaticamente all’esistenza di privilegi.
Secondo la ricostruzione pubblicata, la FIFA avrebbe corretto rapidamente il problema dopo la segnalazione, anche se senza instaurare un dialogo diretto con la ricercatrice.
Al di là dell’aneddoto del possibile “Rickroll” trasmesso durante una partita dei Mondiali, questa storia rappresenta un promemoria importante per tutte le organizzazioni che gestiscono infrastrutture critiche, piattaforme cloud e sistemi federati di identità.
Molto spesso la sicurezza non viene compromessa da vulnerabilità particolarmente sofisticate. Basta una singola autorizzazione mancante, un controllo implementato nel posto sbagliato o una fiducia eccessiva nell’identità dell’utente.
E quando il sistema in questione controlla la distribuzione televisiva dell’evento sportivo più seguito del pianeta, anche il più banale errore di autorizzazione può trasformarsi in un incidente di portata globale.