MinhSec
Writer
Một lỗ hổng bảo mật nghiêm trọng trong hệ thống của FIFA vừa khiến giới an ninh mạng sửng sốt, khi một hacker mũ trắng phát hiện rằng chỉ với một tài khoản đăng ký thông thường, anh ta có thể tiếp cận hàng loạt hệ thống cốt lõi đang vận hành World Cup. Nếu rơi vào tay kẻ xấu, lỗ hổng này hoàn toàn có thể biến giải đấu bóng đá lớn nhất hành tinh thành một mớ hỗn loạn trên phạm vi toàn cầu.
Sự việc bắt đầu vào ngày 14/6 khi một hacker đạo đức có biệt danh BobDaHacker đăng ký làm đại diện cầu thủ trên nền tảng chính thức của FIFA. Đây là hệ thống mở cho bất kỳ ai muốn hoạt động như một người đại diện bóng đá, chỉ cần cung cấp giấy tờ tùy thân và xác minh email. Sau khi được cấp tài khoản trong hệ thống Microsoft Entra ID, BobDaHacker quyết định thử kiểm tra mức độ bảo mật của nền tảng.
Ban đầu, giao diện hiển thị rằng tài khoản này không có quyền truy cập vào các hệ thống quan trọng. Nhưng khi đi sâu hơn, hacker phát hiện ra một lỗi cực kỳ nguy hiểm: FIFA chỉ kiểm tra quyền hạn ở phía giao diện người dùng, trong khi phía máy chủ gần như không thực hiện xác thực tương ứng. Điều đó có nghĩa là dù bị chặn trên màn hình, bất kỳ ai biết cách gửi yêu cầu trực tiếp đến API vẫn có thể bước qua cánh cửa bảo mật như không hề có khóa.
Hacker này nói rằng về lý thuyết, một kẻ tấn công có thể “rickroll” cả World Cup hoặc phát một trò chơi như Subway Surfers trên sóng truyền hình toàn cầu trong lúc trận đấu vẫn đang diễn ra. Nghe có vẻ như trò đùa trên mạng, nhưng thực tế cho thấy mức độ kiểm soát mà lỗ hổng này mở ra là rất thật.
Không dừng ở đó, cùng quyền truy cập này còn mở đường đến hệ thống quản lý trận đấu, nơi hacker có thể chỉnh sửa tỷ số theo thời gian thực, thay đổi giờ thi đấu hoặc can thiệp vào dữ liệu vận hành. Thậm chí hệ thống thông tin dành cho bình luận viên cũng nằm trong vùng ảnh hưởng, nghĩa là nội dung mà các bình luận viên trên khắp thế giới nhận được cũng có thể bị thao túng.
Ngoài ra, BobDaHacker còn tiếp cận được nền tảng phân tích trận đấu và môi trường phát triển nội bộ của FIFA, nơi chứa nhiều dữ liệu nhạy cảm liên quan đến doanh thu, chuyển nhượng cầu thủ và các hoạt động kinh doanh khác.
Cuối cùng, hacker buộc phải gọi cho Cybersecurity and Infrastructure Security Agency và Federal Bureau of Investigation để nhờ chuyển tiếp thông tin. Trớ trêu là chính CISA hiện lại là một trong những đơn vị hỗ trợ an ninh mạng cho FIFA World Cup 2026. Sau khi tiếp nhận báo cáo, lỗ hổng được cho là đã được vá chỉ trong vòng một ngày.
BobDaHacker nhấn mạnh rằng FIFA không phải trường hợp hiếm gặp. Nhiều công ty lớn trong các lĩnh vực hàng không, robot, thực phẩm hay giải trí cũng từng mắc sai lầm tương tự: kiểm soát quyền truy cập ở giao diện nhưng quên mất phần quan trọng nhất là phía máy chủ.
Và trong thế giới an ninh mạng, đôi khi chỉ một sai lầm cơ bản như vậy cũng đủ để khiến cả một sự kiện thể thao lớn nhất hành tinh đứng bên bờ vực hỗn loạn.
Sự việc bắt đầu vào ngày 14/6 khi một hacker đạo đức có biệt danh BobDaHacker đăng ký làm đại diện cầu thủ trên nền tảng chính thức của FIFA. Đây là hệ thống mở cho bất kỳ ai muốn hoạt động như một người đại diện bóng đá, chỉ cần cung cấp giấy tờ tùy thân và xác minh email. Sau khi được cấp tài khoản trong hệ thống Microsoft Entra ID, BobDaHacker quyết định thử kiểm tra mức độ bảo mật của nền tảng.
Ban đầu, giao diện hiển thị rằng tài khoản này không có quyền truy cập vào các hệ thống quan trọng. Nhưng khi đi sâu hơn, hacker phát hiện ra một lỗi cực kỳ nguy hiểm: FIFA chỉ kiểm tra quyền hạn ở phía giao diện người dùng, trong khi phía máy chủ gần như không thực hiện xác thực tương ứng. Điều đó có nghĩa là dù bị chặn trên màn hình, bất kỳ ai biết cách gửi yêu cầu trực tiếp đến API vẫn có thể bước qua cánh cửa bảo mật như không hề có khóa.
Chỉ một tài khoản cũng đủ để chạm vào cả hệ thống World Cup
Điều đáng sợ là lỗ hổng này không chỉ mở ra vài dữ liệu phụ. Theo BobDaHacker, nó cho phép truy cập vào nền tảng quản lý phát sóng trực tiếp của FIFA, nơi kiểm soát toàn bộ luồng hình ảnh World Cup phát ra toàn cầu. Nếu là một hacker độc hại, họ có thể làm gián đoạn trận đấu giữa chừng, chèn bất kỳ nội dung nào mình muốn, hoặc thậm chí thay thế hoàn toàn tín hiệu trực tiếp bằng video khác.Hacker này nói rằng về lý thuyết, một kẻ tấn công có thể “rickroll” cả World Cup hoặc phát một trò chơi như Subway Surfers trên sóng truyền hình toàn cầu trong lúc trận đấu vẫn đang diễn ra. Nghe có vẻ như trò đùa trên mạng, nhưng thực tế cho thấy mức độ kiểm soát mà lỗ hổng này mở ra là rất thật.
Không dừng ở đó, cùng quyền truy cập này còn mở đường đến hệ thống quản lý trận đấu, nơi hacker có thể chỉnh sửa tỷ số theo thời gian thực, thay đổi giờ thi đấu hoặc can thiệp vào dữ liệu vận hành. Thậm chí hệ thống thông tin dành cho bình luận viên cũng nằm trong vùng ảnh hưởng, nghĩa là nội dung mà các bình luận viên trên khắp thế giới nhận được cũng có thể bị thao túng.
Ngoài ra, BobDaHacker còn tiếp cận được nền tảng phân tích trận đấu và môi trường phát triển nội bộ của FIFA, nơi chứa nhiều dữ liệu nhạy cảm liên quan đến doanh thu, chuyển nhượng cầu thủ và các hoạt động kinh doanh khác.
FIFA không có cả kênh để nhận báo cáo lỗ hổng
Điều khiến cộng đồng an ninh mạng bất ngờ hơn cả là sau khi phát hiện ra vấn đề, BobDaHacker gần như không thể tìm được cách liên lạc trực tiếp với FIFA để báo lỗi. Theo anh, tổ chức này không có file security.txt, không có chính sách công bố lỗ hổng, cũng không có chương trình thưởng lỗi bảo mật như nhiều tập đoàn lớn khác.Cuối cùng, hacker buộc phải gọi cho Cybersecurity and Infrastructure Security Agency và Federal Bureau of Investigation để nhờ chuyển tiếp thông tin. Trớ trêu là chính CISA hiện lại là một trong những đơn vị hỗ trợ an ninh mạng cho FIFA World Cup 2026. Sau khi tiếp nhận báo cáo, lỗ hổng được cho là đã được vá chỉ trong vòng một ngày.
BobDaHacker nhấn mạnh rằng FIFA không phải trường hợp hiếm gặp. Nhiều công ty lớn trong các lĩnh vực hàng không, robot, thực phẩm hay giải trí cũng từng mắc sai lầm tương tự: kiểm soát quyền truy cập ở giao diện nhưng quên mất phần quan trọng nhất là phía máy chủ.
Và trong thế giới an ninh mạng, đôi khi chỉ một sai lầm cơ bản như vậy cũng đủ để khiến cả một sự kiện thể thao lớn nhất hành tinh đứng bên bờ vực hỗn loạn.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
