他们在没有任何回复的情况下修复了这个问题。 我不得不在东京时间凌晨 3 点拨打 FIFA、MediaKind、HBS、CISA 和 FBI 的电话，只是为了让有人倾听。 这就是那个故事。 一切始于一个足球代理注册。 FIFA 有一个名为 FIFA 代理平台的东西。 这是一个公共门户，您可以在其中注册成为持证足球代理。 您提交您的身份证，验证您的电子邮件，然后您就可以注册。 这足够简单。 我没想到的是接下来发生的事情。 当您在 agents.fifa.org 上注册时，FIFA 会将您的帐户添加到他们的 Microsoft Entra 租户（之前称为 Azure AD）。 这就是支持 FIFA 所有内部平台的租户。 我是说所有的平台。 我的前两次尝试实际上失败了，因为我身份证照片的光线不足： “在检查您的身份证明的最后一步时注册失败。” - 显然，FIFA 对我的自拍的标准比我实际的安全存储更高。 但第三次尝试通过了。 我收到了这封美丽的电子邮件：主题行：“FIFA - FAP - 确认”。 是的，FIFA 的代理平台正式称为 FAP。 我不能编造这个。 FAP 确认。 继续。 那个“访问被拒绝”的错误。 注册后，我试图导航到 fdp.fifa.org - FIFA 的足球数据平台。 该应用程序通过共享的 Entra 租户验证了我，检查了我的角色，发现我没有角色，然后显示给我：“抱歉，您的帐户未分配任何 FIFA 足球数据平台角色。” 看起来可以工作，对吧？ 访问被拒绝。 走开。 这里没什么可看的。 除了这一切都是客户端的。 Angular 应用检查了 JWT 是否存在 NO_ROLES 标记并渲染了访问被拒绝页面。 后端 API？ 它们没有检查任何内容。 它们只会提供您所要求的内容。 欢迎来到流媒体管理面板。 在绕过客户端检查后，我来到了流媒体管理面板。 我的下巴差点掉到地上。 每一场 FIFA 世界杯 2026 的比赛。 带有流媒体控制。 这不是某个开发环境。 这不是测试数据。 这是 FIFA 世界杯 2026 的实时生产流媒体管理面板。 每场比赛。 每个摄像机角度。 每个 RTMP 采集 URL。 每个流密钥。 让我展开其中一场比赛，以便您明白我的意思：每场比赛有五个摄像机角度：PGM、战术、Camera1、左侧高位、右侧高位。 每场比赛都有五个摄像机馈送，每个都有：一个 RTMP 采集 URL（摄像机发送视频的位置）；一个预览清单（您可以观察馈送的位置）；一个输出 URL（发送给广播合作伙伴的 HLS 清单）。 RTMP 采集 URL 看起来像这样：rtmp://in-6c81fc99-513f-4c76-82c2-877e0b93f2ea.westeurope.streaming.mediakind.com:1935/96886a14-9987-420f-814c-2f7cec5408ae。 结尾的那个 UUID？ 96886a14-9987-420f-814c-2f7cec5408ae。 那是流密钥（不是真的）。 它在同一场比赛的所有五个摄像机角度中共享。 一个密钥统治所有。 流媒体基础设施托管在 MediaKind 之上，FIFA 的流媒体技术合作伙伴。 这些都是生产端点。 与来自美国、墨西哥和加拿大各大体育场的实时摄像机馈送相接收的端点。 我打开了 VLC。 它是实时的。 我需要确认预览清单实际上可以正常工作。 所以我将其中一个复制到 VLC 中。 这是来自一场 FIFA 世界杯 2026 比赛的实时战术摄像机馈送。 在 VLC 中播放。 在我的电脑上。 在东京。 我立即将其关闭。 但损害已经造成（对我的大脑而言）。 这些预览 URL 提供实时视频。 在比赛进行期间。 对任何有 URL 的人。 我本可以停止流媒体。 不只是读取访问。 流媒体管理面板拥有完整的控制功能。 启动、停止、安排。 对于每场比赛。 每个摄像机角度。 点击一下。 只需点击一下即可终止实时世界杯摄像机馈送。 我没有触碰任何这些控制。 但它们在那儿。 功能完全。 等待任何 NO_ROLES 账户的人按下它们。 核心选择。 让我讲清楚这意味着什么。 这些 RTMP 采集 URL 是摄像机从体育场发送到 FIFA 播放分发链的字面管道。 摄像机 -> RTMP 采集 -> MediaKind -> 广播合作伙伴 -> 您的电视。 如果攻击者使用流密钥（就在 URL 中）向其中一个 RTMP 端点推送视频，他们就会替换摄像机馈送。 PGM（节目）馈送是主要的广播输出。 替换它，接收 FIFA 供给的每个电视频道都会显示您所推送的内容。 每场比赛的流密钥在所有五个摄像机角度中共享。 单个攻击者可以同时劫持每个摄像机。 攻击者本可以让整个 FIFA 世界杯变成 Rickroll。 或者播放《Subway Surfers》的游戏直播。 在每个全球电视网络上， 直播。 在比赛进行期间。 我没有进行测试。 我没有向任何 RTMP 端点推送任何内容。 但基础设施是完全开放的。 但等等，还有更多。 流媒体管理面板并不是唯一暴露的内容。 我没有角色的帐户可以访问整个平台。 竞赛、比赛、球队、工具、交换平台、分析仪表板、评论员信息。