Um hacker ético acessou a infraestrutura de transmissão da FIFA e provou que o jogo mais caro do mundo tinha uma brecha aberta para qualquer um na internet
No Crypto ID, temos recebido uma série de excelentes contribuições de especialistas, empresas e pesquisadores sobre como proteger organizações e cidadãos em tempos de grandes eventos globais. A Copa do Mundo é, sem dúvida, o maior deles. Analistas estimam que a audiência cumulativa da Copa do Mundo 2026 pode superar 6 bilhões de pessoas, com a final podendo atingir uma audiência simultânea de 2 bilhões de telespectadores. São bilhões de pessoas conectadas, bilhões de transações, bilhões de pontos de vulnerabilidade.
Elegemos para hoje uma matéria que ilustra com precisão cirúrgica por que o tema de segurança digital, identidade e criptografia nunca foi tão urgente.
O texto é de autoria do jornalista Nate Nelson, escritor colaborador do Dark Reading, veículo americano de referência em cibersegurança, publicado em 18 de junho de 2026. O que Nelson narra não é ficção científica nem exercício teórico. É um caso real, ocorrido durante os jogos em andamento.
Uma brecha que todo mundo ignorou, menos um
Em 14 de junho deste ano, um hacker identificado pelo codinome BobDaHacker fez algo aparentemente simples: criou uma conta como agente de futebol na plataforma oficial da FIFA. Qualquer pessoa pode fazer isso. Basta enviar um documento de identidade e verificar um endereço de e-mail. A FIFA cria então uma conta no seu ambiente Microsoft Entra, o mesmo ambiente que sustenta todos os sistemas internos da organização.
O que BobDaHacker descobriu em seguida, segundo o relato de Nate Nelson no Dark Reading, é o tipo de falha que profissionais de segurança conhecem bem mas que as organizações insistem em deixar passar. O sistema exibia uma mensagem de acesso negado na interface para o usuário comum. Mas a API de backend não aplicava nenhuma restrição equivalente. Qualquer usuário autenticado, independentemente de privilégios, conseguia acessar o que quisesse.
“Autorização do lado do cliente sem aplicação do servidor é um dos padrões mais comuns que encontro no meu trabalho”, disse o hacker ao Dark Reading. “Grandes empresas adoram construir um frontend bonito que verifica seus cargos e mostra uma página de acesso negado, e então o backend serve tudo para qualquer usuário autenticado.”
Controle total sobre as transmissões globais
O que BobDaHacker encontrou do outro lado dessa brecha, conforme descrito por Nelson, vai além do imaginável para quem está fora do setor. A conta de agente de futebol sem nenhum privilégio especial dava acesso direto à plataforma de gerenciamento de streaming da FIFA, o centro de produção ao vivo de todas as transmissões da Copa do Mundo.
E não era acesso passivo. Era controle ativo. O hacker poderia ter interrompido qualquer partida ao vivo, substituído o sinal por qualquer vídeo escolhido por ele, e transmitido esse conteúdo para todas as redes de televisão do mundo simultaneamente. “Um atacante poderia ter rickrollado toda a Copa do Mundo da FIFA, ou jogado gameplay de Subway Surfers, ao vivo, em todas as redes de TV do mundo, durante uma partida ativa”, escreveu BobDaHacker em seu blog, citado pelo jornalista Nelson.
Mas não para por aí. A mesma conta permitia acesso à plataforma de gerenciamento de partidas, de onde placares e dados em tempo real poderiam ser adulterados. Também dava entrada ao sistema de informações para comentaristas, ao ambiente de análise de tempo de jogo e ao ambiente de desenvolvedores da FIFA, onde estão arquivos relacionados a receitas e transferências de jogadores.
Uma falha conhecida, um risco imenso
O que torna este caso particularmente valioso como lição é que a vulnerabilidade em si não é nova nem sofisticada. Não exigiu ferramentas especiais, conhecimento avançado de exploit ou meses de pesquisa. Exigiu apenas que alguém prestasse atenção onde outros não prestaram.
Nelson destaca que o próprio BobDaHacker foi enfático ao contextualizar o problema: “FIFA não é especialmente ruim aqui. Já encontrei coisas parecidas em empresas da Fortune 500 em alimentos e bebidas, companhias aéreas, robótica, entretenimento, o que você imaginar. O padrão é sempre o mesmo: a interface faz o controle de acesso, a API não tem. O que faz a FIFA se destacar é a gravidade do que foi exposto, não a vulnerabilidade em si.”
A lição para CISOs é direta: verificar permissões no frontend não constitui controle de acesso. Cada endpoint de API precisa validar autorização de forma independente, sem assumir que a camada de apresentação já fez esse trabalho.
Quando reportar é mais difícil que invadir
O relato de Nate Nelson no Dark Reading revela ainda uma camada adicional do problema, que diz respeito à maturidade institucional em cibersegurança. BobDaHacker tentou reportar a vulnerabilidade diretamente à FIFA e encontrou um muro. A organização não tem security.txt, não tem política de divulgação de vulnerabilidades, não tem programa de bug bounty e não disponibilizou nenhum canal para que pesquisadores de segurança entrassem em contato.
A saída foi ligar para a CISA, a Agência de Cibersegurança e Infraestrutura dos Estados Unidos, que é a responsável federal pela segurança cibernética da Copa do Mundo 2026, e para o FBI. O problema foi aparentemente resolvido no dia seguinte, mas a ironia não passa despercebida por Nelson: a CISA realizou exercícios de segurança com cidades-sede, estádios e infraestrutura crítica regional, mas a declaração oficial da agência compartilhada com o Dark Reading não fez nenhuma referência à segurança da infraestrutura digital da FIFA nem à integridade das transmissões televisivas.
O que esse caso nos diz sobre nossa missão
Para nós do Crypto ID, este episódio não é apenas uma boa pauta. É uma confirmação de propósito.
Há doze anos construímos este canal como espaço de referência para profissionais, gestores, reguladores e pesquisadores que trabalham com identidade digital, criptografia, certificação e segurança da informação. E casos como este, narrado com rigor por Nate Nelson no Dark Reading, mostram que o trabalho ainda está longe de estar concluído.
Uma Copa do Mundo com audiência de 6 bilhões de pessoas, transmitida em tempo real para centenas de países, gerenciada por plataformas conectadas à internet, operando com controle de acesso implementado apenas no frontend. Esse cenário não é exceção. É regra. Está nos sistemas de companhias aéreas, de redes hospitalares, de utilities de energia, de instituições financeiras.
Gestão de identidades robusta, criptografia aplicada corretamente nas APIs, verificação de autorização em cada camada da arquitetura, políticas claras de divulgação responsável de vulnerabilidades: tudo isso ainda precisa ser dito, explicado, defendido e cobrado. É o que fazemos. E, ao que tudo indica, ainda temos muito a contribuir com a sociedade.
Leia o artigo original de Nate Nelson no Dark Reading: darkreading.com
Sobre o Dark Reading: publicação americana especializada em cibersegurança, referência global para profissionais da área, que cobre desde ameaças emergentes até análises técnicas aprofundadas sobre vulnerabilidades, gestão de riscos e respostas a incidentes.
Glossário
API (Application Programming Interface): conjunto de protocolos que permite a comunicação entre sistemas. Quando não protegida por autorização no servidor, torna-se o ponto de entrada mais comum para invasões.
Microsoft Entra: plataforma de gerenciamento de identidades e acessos da Microsoft, usada por organizações para autenticar usuários e controlar permissões em ambientes corporativos.
Controle de acesso baseado em função (RBAC): modelo de segurança que restringe o acesso a sistemas com base no papel do usuário. Deve ser aplicado tanto no frontend quanto no backend.
Frontend: camada de interface visível ao usuário em um sistema web ou aplicativo. Não é, por si só, um mecanismo de segurança confiável para controle de acesso.
Backend: camada de servidor onde as regras de negócio e dados residem. É onde o controle de acesso deve obrigatoriamente ser aplicado e verificado.
Security.txt: arquivo padronizado que organizações publicam em seus domínios para indicar como reportar vulnerabilidades de segurança de forma responsável.
VDP (Vulnerability Disclosure Policy): política formal que define como uma organização recebe, processa e responde a relatos de vulnerabilidades feitos por pesquisadores externos.
Bug bounty: programa pelo qual organizações recompensam pesquisadores que identificam e reportam falhas de segurança de forma ética e responsável.
Copa do Mundo 2026 é disputada também no campo da confiança digital
Copa do Mundo 2026 acelera a era dos estádios inteligentes e transforma a jornada dos torcedores
Copa do Mundo 2026: Fortinet identifica mais de 1.140 domínios maliciosos relacionados ao torneio
Apostas online na Copa do Mundo: como torcer com segurança e fugir das bets ilegais
Muitos outros artigos sobre Copa do Mundo e Segurança Digital, você lê aqui!
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
Inteligência Editorial que Orienta Cenários
Desde 2014, o Crypto ID oferece conteúdo editorial sobre tecnologia de segurança referente à requisitos técnicos e regulatórios. Levamos conhecimento e provocamos reflexões que sustentam decisões em transformação digital e cibersegurança. Temos a força do contexto que impulsiona a comunicação. Fale com a gente contato@cryptoid.com.br
