A investigadora de segurança conhecida pelo pseudónimo BobDaHacker revelou ter conseguido aceder a sistemas internos da FIFA que controlavam aspetos críticos da transmissão da Copa do Mundo de 2026 — incluindo o painel de gestão de streaming em produção, com acesso a todas as partidas, ângulos de câmara, URLs de ingestão RTMP e chaves de transmissão. A falha foi corrigida horas após o reporte, mas o caso expõe lacunas graves de controlo de acesso numa infraestrutura que serve o maior evento desportivo do mundo.
O caso foi noticiado em detalhe por Nate Nelson, jornalista colaborador do Dark Reading — publicação norte-americana de referência em cibersegurança — num artigo publicado a 18 de junho de 2026. O que Nelson relata não é um exercício teórico: é um caso real, ocorrido durante os jogos em curso, com sistemas de produção ativos e partidas a decorrer em tempo real.
Como começou: uma conta de agente desportivo
O acesso teve origem na FIFA Agent Platform, o portal público utilizado para registo de agentes de jogadores de futebol. Após criar uma conta com documento de identidade e validação de email — um processo de registo comum, sem qualquer técnica de invasão sofisticada — a conta foi automaticamente adicionada ao tenant Microsoft Entra (anteriormente Azure AD) da organização, o ambiente de identidade que gere o acesso a múltiplas aplicações internas da FIFA.
O problema central, segundo o relato técnico de BobDaHacker, é que esse mesmo ambiente de identidade era partilhado por diferentes sistemas internos. Uma conta sem qualquer função atribuída — criada apenas para gestão de agentes — acabou por ter acesso a painéis completamente alheios à sua finalidade original.
O que estava exposto
Entre os sistemas acessíveis estava o Streaming Management, a plataforma de gestão das transmissões da Copa do Mundo 2026. A interface exibia URLs de ingestão RTMP, chaves de transmissão (stream keys), manifestos HLS de distribuição para grandes emissoras, links de monitorização em tempo real e — de forma particularmente preocupante — controlos para iniciar, interromper e agendar transmissões de diferentes feeds, com cinco ângulos de câmara distintos por jogo.
“Não se tratava de um ambiente de desenvolvimento. Não eram dados de teste. Era o painel de gestão de streaming em produção da Copa do Mundo de 2026. Todas as partidas. Todos os ângulos de câmara. Todas as URLs de ingestão RTMP. Todas as chaves de transmissão”, escreveu BobDaHacker na sua divulgação técnica original.
Segundo Nate Nelson, no Dark Reading, um atacante malicioso poderia ter substituído o sinal das câmaras por qualquer outro conteúdo durante uma partida ao vivo — incluindo, nas palavras da própria investigadora, fazer um “rickroll” a toda a Copa do Mundo. A conta de teste chegou a abrir uma pré-visualização num leitor de vídeo para confirmar que o conteúdo era efetivamente transmitido em direto — um jogo entre Costa do Marfim e Equador — mas o acesso foi encerrado de imediato, sem qualquer interferência na transmissão.
O acesso não se limitava à transmissão. A falha expunha ainda o Commentator Information System, a plataforma que fornece dados em tempo real a comentadores — estatísticas, formações táticas, dados de jogadores, substituições e notas editoriais — bem como permissões de escrita em sistemas de gestão de partidas, com potencial para alterar placares, ajustar horários de início de jogos e modificar informação disponibilizada a emissoras. Segundo o relato citado por Nelson, a conta sem privilégios atribuídos tinha ainda acesso a um ambiente de desenvolvimento com ficheiros relativos a receitas e transferências de jogadores.
A dificuldade em reportar a falha
Um dos aspetos mais reveladores do caso foi a ausência de um canal formal de divulgação de vulnerabilidades na FIFA — sem ficheiro security.txt, sem programa de recompensas por vulnerabilidades e sem contacto de segurança publicado. BobDaHacker tentou contactar a organização por email, tendo enviado o alerta para múltiplos endereços da FIFA — vários dos quais devolveram erro de entrega — e tentou ainda contacto telefónico direto com um responsável da FIFA identificado no LinkedIn, sem sucesso.
Com a Copa do Mundo já em curso e os sistemas afetados ativos, recorreu a terceiros: a MediaKind (a infraestrutura de streaming que aloja a competição), a Cybersecurity and Infrastructure Security Agency (CISA) — a agência federal norte-americana responsável pela cibersegurança do evento — e contactos próprios no FBI, que acabaram por intermediar a comunicação com a FIFA.
A vulnerabilidade foi corrigida horas depois do alerta. Segundo o artigo do Dark Reading, a CISA partilhou uma declaração detalhando o seu envolvimento na segurança física e em exercícios de cibersegurança para o evento, mas sem qualquer referência à segurança da infraestrutura digital da FIFA ou à integridade das transmissões televisivas nacionais. A FIFA não respondeu formalmente ao reporte nem reconheceu publicamente o trabalho da investigadora.
A lição técnica: controlo de acesso, não apenas autenticação
O caso ilustra um erro clássico, mas particularmente grave dada a escala do evento: confundir autenticação com autorização. As aplicações internas da FIFA verificavam corretamente os papéis (roles) do utilizador apenas no lado do cliente — nas interfaces Angular, React ou Vue — apresentando páginas de “acesso negado” quando detetavam falta de permissões. No entanto, as APIs no backend não realizavam qualquer validação equivalente, servindo dados a qualquer membro autenticado do tenant, independentemente das suas permissões reais.
“Autorização do lado do cliente não é autorização”, resumiu BobDaHacker. Esta classe de vulnerabilidade — conhecida formalmente como CWE-602: Client-Side Enforcement of Server-Side Security — está consistentemente entre os padrões de falha mais comuns identificados por investigadores de segurança em aplicações empresariais complexas.
Porque é que isto importa
A audiência média global de um jogo da Copa do Mundo é estimada em 175 milhões de espectadores, segundo dados citados por especialistas da Okta Threat Intelligence ao Dark Reading. Uma falha desta natureza, se explorada por um agente malicioso em vez de uma investigadora ética, poderia ter causado uma interrupção de transmissão à escala global — ou pior, a substituição de conteúdo transmitido por material impróprio — com impacto reputacional e financeiro massivo para a FIFA e para os parceiros de transmissão.
O caso é também um alerta para qualquer organização que opere infraestrutura crítica ligada a grandes eventos: a ausência de um canal formal e responsivo de divulgação de vulnerabilidades pode forçar investigadores éticos a recorrer a terceiros e autoridades — atrasando a correção de falhas que, no intervalo, permanecem exploráveis por atores menos bem-intencionados.
Esta informação tem carácter noticioso e baseia-se no artigo original de Nate Nelson, publicado no Dark Reading a 18 de junho de 2026, bem como em divulgações técnicas da própria BobDaHacker e em reportagens complementares do CryptoID, BankInfoSecurity e iTnews.