Hakerzy przechytrzyli FIA i dotarli do danych Verstappena. Wstrząs w świecie F1

5 dni temu 5

To miał być bezpieczny system dla elity motorsportu. Latem jednak grupa internautów znalazła w nim lukę, dzięki której uzyskała dostęp do danych setek kierowców – w tym mistrza świata Maxa Verstappena. Federacja FIA potwierdziła incydent i tłumaczy, jak doszło do błędu.

Jak doszło do włamania? Błąd w sercu systemu FIA

Do ataku doszło latem, gdy hakerzy odkryli lukę w systemie FIA odpowiedzialnym za kategoryzację kierowców wyścigowych. W efekcie uzyskali krótki dostęp do danych osobowych setek zawodników, w tym czołowych kierowców Formuły 1. Jak ujawnił użytkownik platformy X o pseudonimie Galnagli, wraz z dwiema innymi osobami zdołał wejść do poufnej części portalu.

Chcieliśmy sprawdzić bezpieczeństwo całego ekosystemu - relacjonował.

Grupa założyła fikcyjny profil kierowcy i przetestowała „pewną teorię”. Wystarczyło wysłać żądanie nadania uprawnień administratora – a system bez weryfikacji je przyznał. W ten sposób uzyskali dostęp do pełnych danych zawodników, w tym numerów paszportów i informacji kontaktowych.

Verstappen, superlicencja i dane w niepowołanych rękach

Jak przyznał Galnagli, nowo zdobyte uprawnienia pozwoliły im podejrzeć informacje dotyczące m.in. Maxa Verstappena, aktualnego mistrza świata F1. Hakerzy mieli wgląd w jego CV, dane paszportowe i szczegóły dotyczące superlicencji. Twierdzą jednak, że nie kopiowali ani nie przechowywali żadnych zdjęć czy dokumentów.

ZOBACZ TAKŻE: Kolejny Polak w F1? Tymoteusz Kucharczyk pokazuje, że warto marzyć

Konto, które wykorzystali do testu, zostało później usunięte, a sami hakerzy poinformowali FIA o błędzie, współpracując przy jego usunięciu. Luka miała charakter tzw. mass assignment – system bezrefleksyjnie akceptował żądanie nadania wyższych uprawnień, nie weryfikując, czy użytkownik faktycznie powinien je otrzymać.

Reakcja FIA. „Podjęto natychmiastowe kroki”

Federacja FIA potwierdziła, że do incydentu doszło w lecie i dotyczył on strony FIA Driver Categorisation.

Natychmiast podjęto kroki, aby zabezpieczyć dane kierowców, a FIA zgłosiła sprawę właściwym organom ochrony danych zgodnie ze swoimi obowiązkami - czytamy w oświadczeniu przytoczonym przez planetf1.com.

Federacja zapewniła, że poinformowała dotkniętych kierowców i że inne platformy cyfrowe nie ucierpiały.

FIA intensywnie inwestuje w cyberbezpieczeństwo i odporność całego środowiska cyfrowego. Wdraża światowej klasy środki ochrony danych wszystkich interesariuszy oraz stosuje zasadę security-by-design we wszystkich nowych inicjatywach cyfrowych - podsumowano w komunikacie.