Ausgangspunkt war die FIFA Agent Platform. Dort kann laut Bericht jeder einen Antrag als Fußballagent stellen, indem Ausweisdaten eingereicht und die E-Mail-Adresse verifiziert werden. FIFA erstellt dafür ein Konto in seinem Microsoft-Entra-Mandanten. Genau dieser Mandant unterstützte nach Darstellung von „BobDaHacker“ auch die internen Systeme von FIFA.
Der Forscher versuchte mit dem neu angelegten Konto, auf die zentrale Datenplattform von FIFA zuzugreifen. Die Benutzeroberfläche zeigte zwar eine Zugriffsverweigerung wegen fehlender Rechte an. Nach Angaben von „BobDaHacker“ war diese Sperre jedoch nur oberflächlich: Die Backend-API habe die angeforderten Inhalte trotzdem an jeden authentifizierten Benutzer ausgeliefert. Gegenüber Dark Reading erklärte der Hacker, dieses Muster sei häufig: clientseitige Autorisierung ohne serverseitige Durchsetzung.
Auf diesem Weg erreichte der Forscher nach eigenen Angaben die Streaming-Management-Plattform von FIFA, also die Live-Produktionszentrale für die WM-Übertragungen. Der Zugriff habe sich nicht darauf beschränkt, Kamerafeeds anzusehen. Vielmehr seien vollständige Steuerungsmöglichkeiten vorhanden gewesen. In seinem Blog schrieb „BobDaHacker“, ein Angreifer hätte die gesamte FIFA-Weltmeisterschaft mit einem Scherzvideo überlagern oder auf jedem Fernsehsender weltweit während eines laufenden Spiels andere Inhalte ausspielen können.
Der Zugriff reichte laut Bericht noch weiter. Mit demselben nicht privilegierten Agentenkonto sei auch der Einstieg in FIFAs Spielverwaltungsplattform möglich gewesen. Dort hätte ein Angreifer Spielstände und andere Spieldaten in Echtzeit verändern oder die Anstoßzeit kommender Partien anpassen können. Zusätzlich habe das Konto Zugang zum Kommentarinformationssystem eröffnet, über das sich beeinflussen ließe, was Kommentatoren in verschiedenen Sprachen live sagen.
Ebenfalls erreichbar gewesen seien die Plattform für Spielanalyse sowie die Entwicklerumgebung von FIFA. Dort lagen dem Bericht zufolge Dateien zu Einnahmen, Spielertransfers und weiteren Themen. „BobDaHacker“ betonte gegenüber Dark Reading, dass clientseitige Autorisierung keine echte Autorisierung sei: Wenn nur das Frontend Rollen prüfe, existiere keine Zugriffskontrolle, sondern nur ein Hinweis. Die Durchsetzung müsse auf dem Server erfolgen, und zwar für jede API-Route und jeden Endpunkt.
Nach Angaben des Forschers scheiterten sämtliche Versuche, die Schwachstelle direkt an FIFA zu melden. Er verwies darauf, dass FIFA weder eine security.txt noch eine Richtlinie zur Offenlegung von Schwachstellen oder ein Bug-Bounty-Programm habe. Schließlich habe er deshalb CISA und das FBI kontaktiert. Durch Recherchen sei er darauf gestoßen, dass die Cybersecurity and Infrastructure Security Agency die federführende Bundesbehörde für Cybersicherheit bei der Weltmeisterschaft 2026 ist. Nach dem Anruf bei CISA und dem FBI sei das Problem am folgenden Tag offenbar behoben worden.
Dark Reading versuchte nach eigenen Angaben, FIFA für eine Stellungnahme und Klarstellung zu erreichen, bekam jedoch keine Antwort. CISA erklärte in einer längeren Stellungnahme gegenüber Dark Reading, welche Beiträge die Behörde zur Weltmeisterschaft 2026 leistet. Dazu zählten Übungen zur Cybersicherheit und physischen Sicherheit für Austragungsorte und Stadien, FIFA-Basiscamps, Hotels sowie regionale kritische Infrastruktur. Auf die Sicherheit von FIFAs digitaler Infrastruktur oder die Integrität nationaler TV-Übertragungen ging CISA dabei nicht ein.