Drie Formule 1-fans hebben de Internationale Automobielfederatie (FIA) gehackt en een ernstige zwakke plek in het licentiesysteem van de federatie ontdekt
De FIA heeft bevestigd dat hackers kortstondig toegang hadden tot gegevens in het coureurslicentieportaal van de organisatie, waaronder ook het paspoort van Max Verstappen. Het beveiligingslek is inmiddels in samenwerking met de hackers gedicht.
Het incident vond plaats in de zomer, toen drie hackers – Gal Nagli, Sam Curry en Ian Carroll – inbraken in het “Driver Categorisation Portal” van de FIA. Hoewel de succesvolle inbraak al enkele maanden geleden plaatsvond, maakten de hackers hun ontdekking pas deze week openbaar via sociale media.
De groep, die allemaal Formule 1-fans zijn, benadrukte dat ze geen kwaadwillige bedoelingen hadden. Hun doel was om zwakke plekken in de IT-infrastructuur van de FIA aan het licht te brengen om het “hele ecosysteem veiliger te maken”.
Toegang tot het classificatiesysteem voor coureurs
Het getroffen gebied was het systeem waarmee de FIA de classificaties van coureurs beheert. Terwijl Formule 1-coureurs een superlicentie nodig hebben, is voor andere raceseries – met name in de langafstandssport – de classificatie in goud, zilver of brons doorslaggevend.
Via het portaal beheert de FIA deze classificaties; coureurs kunnen daar ook aanvragen indienen voor een statuswijziging, bijvoorbeeld van goud naar zilver, wat voordelig kan zijn in series met verplichte zilveren coureurs.
Verhoogde beheerdersrechten maakten toegang tot gegevens mogelijk
De hackers maakten eerst een profiel aan op het FIA-portaal en ontdekten met behulp van Javascript dat ze hun gebruikersrol konden wijzigen. Het systeem maakte onderscheid tussen coureurs, FIA-medewerkers en beheerders – de laatsten met de hoogste rechten.
Door middel van een speciaal verzoek slaagden ze erin hun toegangsrechten op beheerdersniveau te verhogen. Nadat ze opnieuw waren ingelogd, opende zich een volledig andere gebruikersinterface, inclusief het interne FIA-dashboard voor de classificatie van coureurs.
Om de toegang te controleren, laadden ze ter test één coureursprofiel. Daarbij werden hun wachtwoord, e-mailadres, telefoonnummer, paspoortgegevens en interne communicatie tussen de FIA en de coureur weergegeven.
Alle Formule 1-coureurs stonden ook in het systeem vermeld. De hackers merkten op dat de paspoortgegevens van Max Verstappen in principe opvraagbaar waren. Ze benadrukten echter uitdrukkelijk dat ze hun tests op dit punt hadden beëindigd en geen gevoelige informatie hadden ingezien of opgeslagen.
FIA reageerde onmiddellijk
Nadat ze op 3 juni de kwetsbaarheid hadden ontdekt, brachten de hackers de FIA onmiddellijk op de hoogte. De federatie haalde de site nog dezelfde dag offline en werkte samen met de groep aan een duurzame oplossing. Op 10 juni bevestigde de FIA dat de fout was verholpen.
Een FIA-woordvoerder verklaarde in Mexico tegenover Motorsport.com: “De FIA werd in de zomer attent gemaakt op een cyberincident in verband met de website voor de klassificatie van coureurs. Er werden onmiddellijk maatregelen genomen om de gegevens van de coureurs te beveiligen.”
“De FIA heeft het incident gemeld aan de bevoegde gegevensbeschermingsautoriteiten, zoals zij verplicht is, en heeft de enkele betrokken coureurs op de hoogte gebracht. Andere digitale platforms van de FIA waren niet getroffen.”
Verder werd gezegd: “De FIA heeft aanzienlijk geïnvesteerd in cyberbeveiliging en veerkrachtmaatregelen. Ze beschikt over de modernste gegevensbeveiligingsmaatregelen om alle betrokkenen te beschermen en volgt bij nieuwe digitale projecten een consequente ‘security by design’-strategie.”
Deze zaak onderstreept hoe belangrijk IT-beveiligingsmaatregelen ook voor grote sportfederaties zoals de FIA zijn geworden.
