Lek maakte overnemen streams WK Voetbal mogelijk zonder authenticatie

In dit artikel:

Beveiligingsonderzoeker BobDaHacker ontdekte dat het FIFA-streamingplatform voor het WK mannen 2026 toegankelijk was zonder juiste server-side authenticatie. Hij kon zich registreren bij het agentenportaal zonder te bewijzen dat hij echt een voetbalagent was; de backend vertrouwde alleen op een clientside rolcheck in Microsoft Entra, waardoor die controle gemakkelijk te omzeilen was. Daardoor kreeg hij toegang tot het Streaming Management-systeem met alle camerafeeds per wedstrijd: onder meer RTMP-URL’s, preview-links en HLS-streams voor omroepen. Uit het systeem bleek bovendien dat elke stream een identieke UUID gebruikte, wat suggereert dat dezelfde sleutel voor meerdere feeds werd ingezet. Met die toegang kon hij streams stoppen of omleiden naar een eigen videofeed en live statistieken en commentatorinformatie inzien en aanpassen. Omdat FIFA geen meldingskanaal voor dit soort kwetsbaarheden had, benaderde de onderzoeker onder andere de FBI; de fout werd een dag later opgelost. FIFA heeft publiek geen verklaring gegeven en het is onbekend of derden misbruik hebben gemaakt van de lekken.

Context: client-side controles (zoals in Entra) mogen nooit de enige vorm van autorisatie zijn; zulke kwetsbaarheden kunnen uitzendingen verstoren of desinformatie verspreiden, vooral bij grootschalige sportevenementen.