Registro como agente de jogadores expôs sistemas críticos da Copa do Mundo

A falha não foi um erro de configuração isolado, foi uma falha estrutural de autorização: FIFA usou autenticação via Microsoft Entra (correta), mas deixou toda a lógica de acesso nas mãos do frontend Angular. O token JWT era validado, mas os backends da fdp.fifa.org e cis.fifa.org sequer verificavam claims de papel (roles). Qualquer conta no tenant, inclusive de agente registrado via formulário público, recebia acesso completo a APIs críticas de transmissão ao vivo. Isso expôs não só URLs RTMP com stream keys em texto claro, mas também endpoints de escrita para edição de placar, horários oficiais, escalações táticas e notas editoriais que alimentam comentários em tempo real na TV.

O pior: o sistema de streaming é operado pela MediaKind, parceira oficial da FIFA para a Copa 2026, e integra diretamente com HBS (Host Broadcast Services), responsável pela produção global. Ou seja, a falha atingia a cadeia inteira de distribuição, desde a câmera no estádio até o sinal recebido por emissoras como Globo, BBC e Fox Sports. Não era 'acesso teórico': o pesquisador reproduziu um feed ao vivo no VLC usando apenas URLs obtidas via interface web sem privilégios.

Empresas que adotam Azure AD ou Microsoft Entra frequentemente assumem que 'autenticado = autorizado', especialmente quando usam frameworks como MSAL + React/Angular. Essa falsa segurança é comum em projetos com pressão de entrega: a validação de roles fica só no frontend para acelerar o desenvolvimento. Mas isso transforma qualquer conta válida, mesmo de fornecedor, parceiro ou cadastro público, em porta de entrada para dados sensíveis e controles operacionais. No caso da FIFA, isso significava que um atacante poderia ter substituído feeds ao vivo, alterado placares oficiais ou injetado informações falsas nos sistemas usados por comentaristas em tempo real, tudo sem precisar de senha, token de sessão ou exploração técnica avançada.