Bir siber güvenlik uzmanı, FIFA'nın kurumsal altyapısındaki şok edici bir zafiyeti ortaya çıkararak, 2026 Dünya Kupası'nın canlı yayın akışlarından maç verilerine kadar her şeyi manipüle edebilecek potansiyele sahip olduğunu gösterdi; bu durum küresel spor organizasyonlarının dijital güvenliği için acil bir uyarı niteliğinde.
Dünya spor tarihinin en büyük organizasyonlarından biri olan FIFA Dünya Kupası, futbolseverleri bir araya getiren ve milyarları ekran başına kilitleyen eşsiz bir olaydır. Ancak 2026 yılında Amerika, Kanada ve Meksika’nın ev sahipliği yapacağı bu dev şölen, daha başlamadan kritik bir siber güvenlik kabusunun eşiğinden döndü. Ortaya çıkan skandal niteliğindeki bir güvenlik açığı, kupanın tüm canlı yayın ve veri altyapısının, sadece sıradan bir kullanıcı hesabı üzerinden kötü niyetli kişilerin kontrolüne geçebileceğini gözler önüne serdi.
Büyük Tehdidin Perde Arkası: Her Şey Nasıl Başladı?
Her şey, bir siber güvenlik araştırmacısının tamamen masum bir amaçla, FIFA’nın resmi futbol menajerliği kayıt platformu olan FIFA Agent Platform’a lisanslı bir menajer olmak için başvurmasıyla başladı. Kimlik doğrulama süreçlerindeki ilk denemeler ışık yetersizliği gibi teknik sorunlar nedeniyle reddedilse de, üçüncü denemesinde onay alan araştırmacı, hiç beklemediği bir keşfin kapısını araladı.
Bu kayıt işleminin ardından, sisteme eklenen her kullanıcı otomatik olarak FIFA’nın Microsoft Entra (eski adıyla Azure AD) kurumsal kimlik yönetimi ağına dâhil oluyordu. İşte kritik nokta tam da buradaydı: Bu ağ, yalnızca menajerlik platformunu değil, aynı zamanda FIFA’nın şirket içindeki tüm kritik sistemlerini besleyen ve kimlik doğrulamalarını yöneten merkezi bir havuz görevi görüyordu. Araştırmacı, standart bir kullanıcı olarak bu devasa ağa erişim hakkı kazanmıştı.
Canlı Yayın Kontrolü ve Derinlemesine Erişim
Edindiği bu kimlikle, FIFA’nın Futbol Veri Platformu’na giriş yapmayı deneyen araştırmacı, başlangıçta “Hesabınıza tanımlanmış bir rol bulunamadı” uyarısıyla karşılaştı. Ancak dikkatli bir incelemeyle, bu uyarının sadece görsel (istemci taraflı) bir engel olduğunu, yani arka plandaki sunucu sorgularının herhangi bir rol kontrolü yapmadan tüm veriyi dışarı sızdırdığını fark etti. Görsel engeli aşmayı başardığında ise karşısında tam anlamıyla şoke edici bir tablo buldu: Canlı Yayın Yönetim Paneli.
Bu panelde, 2026 FIFA Dünya Kupası kapsamındaki tüm maçların canlı yayın akışları listelenmiş, her maç için 5 farklı kamera açısının canlı yayın sunucu adresleri ve yayın anahtarları açıkça görünür durumdaydı. Araştırmacı, bu linklerden birini kopyalayıp sıradan bir medya oynatıcısına yapıştırdığında, Tokyo’daki evinden o sırada oynanmakta olan bir Dünya Kupası maçının taktik kamerasını canlı ve kesintisiz bir şekilde izleyebildi. İşin ürkütücü yanı ise panelde sadece izleme yetkisinin bulunmamasıydı; yayınları başlatma, durdurma ve zamanlama butonları da aktifti. Bu da demek oluyordu ki, kötü niyetli bir kişi, stadyumdan yayıncı kuruluşlara giden ana video sinyalinin üzerine tamamen sahte bir video yayını basabilir veya tüm yayınları tek bir tıkla durdurabilirdi. Milyarlarca insanın izlediği bir anda ekranlarda anlamsız görüntüler belirseydi, bunun FIFA ve yayıncı kuruluşlar için felaket bir itibar kaybına yol açacağı kesindi.
Gizli Belgeler ve Kurumsal Sırlar da Risk Altındaydı
Bu güvenlik açığı sadece canlı yayınlarla sınırlı değildi. Aynı hesaba sahip herhangi biri, canlı maç yönetim ekranındaki yazma yetkileri sayesinde şu kritik verilere müdahale edebiliyordu:
- Canlı maç skorlarını ve istatistiklerini dilediğince değiştirebilme.
- Resmi maç başlama saatini manipüle etme.
- Spiker Bilgi Sistemi’ne sızarak spikerlerin canlı yayında okuduğu editör notlarını ve taktik diziliş verilerini sabote etme.
Dahası, geliştirici ortamında unutulan kritik bir sızıntı nedeniyle, FIFA’nın transfer raporları, gelir karşılaştırmaları ve yönetim kurulu düzeyindeki tam 23 adet gizli dâhili belgesini indirmek de mümkündü. Bu durum, sadece operasyonel değil, kurumsal düzeyde de büyük bir veri ihlali potansiyeli taşıyordu.
Küresel Kriz Masası Devrede: FIFA'nın Sessizliği
Bu denli kritik bir zafiyeti ortaya çıkaran siber güvenlik araştırmacısı, durumu FIFA’ya bildirmek için adeta zamanla yarıştı. Ancak şaşırtıcı bir şekilde, FIFA’nın resmi bir siber güvenlik iletişim adresinin bulunmaması süreci daha da karmaşık hale getirdi. FIFA yetkililerine e-posta ve WhatsApp üzerinden ulaşamayınca, küresel bir kriz masası devreye girdi. Altyapıyı sağlayan teknoloji ortağı MediaKind şirketine telefonla ulaşıldı ve tüm kanıtlar sunuldu. Dünya Kupası’nın siber güvenliğinden sorumlu olan ABD federal kurumu CISA’nın 7/24 operasyon merkezi arandı ve rapor iletildi. Son olarak, FBI’daki mevcut siber güvenlik bağlantıları aracılığıyla durum acil koduyla raporlandı.
Yapılan bu acil bildirimlerin ardından ertesi sabah FIFA, sistemdeki hatayı hızla düzeltti ve sunucu tarafında yetkisiz istekleri engellemeye başladı. Ancak bu kritik olayın ardından FIFA’dan, açığı bildiren araştırmacıya herhangi bir teşekkür mesajı, resmi yanıt veya ödül dönüşü yapılmadı. Hatta sistemde yapılan özensiz düzeltmeler nedeniyle araştırmacı, hâlen Dünya Kupası’nın resmi taktik dizilişleri, başlangıç listeleri ve maç raporlarını otomatik e-posta olarak almaya devam ettiğini belirtiyor. Bu durum, büyük spor organizasyonlarının siber güvenlik konusundaki yaklaşımlarını ve sorumlu ifşa süreçlerini yeniden gözden geçirmeleri gerektiğini bir kez daha ortaya koydu.