Трима фенове на Формула 1 хакнаха Международната автомобилна федерация (FIA) и откриха сериозна уязвимост в лицензионната система на федерацията
FIA потвърди, че хакери са имали краткосрочен достъп до данни в портала за пилотски лицензи на организацията, включително до паспорта на Макс Верстапен. В сътрудничество с хакерите пропуската в сигурността вече е отстранен.
Инцидентът се случи през лятото, когато трима хакери – Гал Нагли, Сам Къри и Иън Карол – проникнаха в „Driver Categorisation Portal” (портал за категоризация на пилотите) на FIA. Въпреки че успешният достъп е бил осъществен преди няколко месеца, хакерите оповестиха откритието си едва тази седмица в социалните медии.
Групата, състояща се изцяло от фенове на Формула 1, подчерта, че не е имала никакви злонамерени намерения. Целта им е била да открият слабости в ИТ инфраструктурата на FIA, за да направят „цялата екосистема по-сигурна”.
Достъп до системата за класификация на пилотите
Засегнатата област беше системата, с която FIA управлява класификациите на пилотите. Докато пилотите от Формула 1 се нуждаят от суперлиценз, за други състезателни серии – особено в дългоразстоячните спортове – класификацията в злато, сребро или бронз е от решаващо значение.
Чрез портала FIA управлява тези класификации; пилотите могат да подават там и заявления за промяна на статуса си – например от златен на сребърен, което може да бъде от полза в серии с задължителни сребърни пилоти.
Повишените администраторски права позволиха достъп до данни
Хакерът първо създаде профил в портала на FIA и с помощта на Javascript установи, че може да промени ролята си на потребител. Системата правеше разлика между пилоти, служители на FIA и администратори – последните с най-високи права.
Чрез специално запитване той успя да увеличи правата си за достъп до ниво администратор. След като се логнаха отново, пред тях се отвори напълно различен потребителски интерфейс, включително вътрешният табло на FIA за класифициране на пилотите.
За да проверят достъпа, те изтеглиха за тест един профил на пилот. При това им бяха показани паролата, имейл адресът, телефонният номер, данните от паспорта, както и вътрешната комуникация между FIA и пилота.
В системата бяха изброени и всички пилоти от Формула 1. Хакерът забеляза, че данните от паспорта на Макс Верстапен биха могли да бъдат извлечени. Той обаче изрично подчерта, че на този етап е прекратил тестовете си и не е разглеждал или запазил чувствителна информация.
FIA реагира незабавно
След като откриха уязвимостта на 3 юни, хакерите незабавно уведомиха FIA. Федерацията свали сайта още същия ден и работи заедно с групата за намиране на трайно решение. На 10 юни FIA потвърди, че грешката е отстранена.
Представител на FIA заяви в Мексико пред Motorsport.com: „През лятото FIA беше уведомена за кибер инцидент, свързан с уебсайта за класиране на пилотите. Незабавно бяха предприети мерки за защита на данните на пилотите.“
„FIA докладва инцидента на компетентните органи за защита на данните в съответствие с поетите ангажименти и уведоми малкото засегнати пилоти. Другите цифрови платформи на FIA не бяха засегнати.“
Освен това се посочва: „FIA е инвестирала значително в киберсигурност и мерки за устойчивост. Тя разполага с най-модерни мерки за сигурност на данните, за да защити всички заинтересовани страни, и следва последователна стратегия за сигурност чрез дизайн при новите цифрови проекти.“
Случаят подчертава колко важни са станали мерките за ИТ сигурност дори за големи спортни федерации като FIA.
