I Mondiali 2026 sono ormai entrati nel vivo e, dietro la scena delle partite, c’è una storia che ha del clamoroso. La FIFA ha evitato per un soffio quello che sarebbe potuto diventare un guaio enorme, dopo che una ricercatrice di sicurezza informatica nota come BobDaHacker ha raccontato di essere riuscita a entrare in diverse piattaforme interne dell’organizzazione. Tutto a causa di una svista, una di quelle banali ma capaci di aprire porte che dovevano restare ben chiuse.
La parte che fa più impressione riguarda il livello di controllo ottenuto. Stando a quanto riferito, quella vulnerabilità permetteva di vedere e gestire i flussi televisivi di ogni singola partita della Coppa del Mondo. Non solo guardarli, ma volendo anche modificarli a piacimento. Una possibilità che, se finita nelle mani sbagliate, avrebbe potuto trasformarsi in qualcosa di molto serio.
Bastava fingersi l’agente di un giocatore
Il meccanismo che rendeva possibile tutto questo è quasi imbarazzante per la sua semplicità. A quanto pare era sufficiente creare un account sulla piattaforma della FIFA registrandosi come finto agente di un qualsiasi calciatore. Fatto questo, si ottenevano le chiavi d’accesso alle API interne dell’intera piattaforma. Niente trucchi sofisticati, nessuna tecnica avanzata, solo una registrazione fatta nel modo giusto.
Tra i sistemi rimasti esposti, racconta la ricercatrice, c’era anche quello con cui le emittenti televisive decidono cosa appare sugli schermi degli spettatori sparsi per il mondo. E pure sui monitor che i commentatori hanno davanti durante la narrazione dei match. Detto in parole semplici, chiunque fosse arrivato a quelle API poteva cambiare qualunque elemento a schermo. Significa avere la possibilità di mandare in onda e alterare messaggi su trasmissioni viste in contemporanea in mezzo pianeta.
Il rischio, a pensarci, è notevole. Una piattaforma del genere viene percepita come affidabile dallo spettatore, e proprio questa fiducia avrebbe potuto essere sfruttata per costruire truffe di vario tipo. Far comparire un messaggio falso durante una partita dei Mondiali 2026, seguita da milioni di persone, sarebbe stato un terreno fertile per chiunque avesse cattive intenzioni.
Falla chiusa, ma resta un campanello d’allarme
La buona notizia è che la vulnerabilità è stata corretta. La meno buona è il silenzio della FIFA, che non ha diffuso alcuna comunicazione ufficiale e non ha nemmeno risposto alle richieste di chiarimenti arrivate dai giornalisti. Una reazione che lascia un po’ di amaro, considerando la portata di ciò che era in gioco.
Quello che colpisce davvero è la facilità con cui il problema è stato individuato. Se una ricercatrice ci è arrivata con uno stratagemma tanto elementare, viene da chiedersi quanto fosse monitorata davvero quella infrastruttura. La sicurezza informatica di un evento globale come la Coppa del Mondo dovrebbe essere blindata, e invece è bastato fingersi l’agente di un giocatore per arrivare al cuore del sistema. Adesso il buco è tappato, ma la testimonianza di quanto è accaduto rimane lì, come promemoria di un controllo che avrebbe dovuto essere ben più attento.