Három Forma-1-rajongó feltörte a Nemzetközi Autósport Szövetség (FIA) rendszerét, és súlyos biztonsági rést talált a szövetség licencrendszerében.
A FIA megerősítette, hogy hackerek rövid ideig hozzáfértek a szervezet versenyzői licencportáljának adataihoz, köztük Max Verstappen útleveléhez is. A biztonsági rést időközben a hackerekkel együttműködve megszüntették.
Az eset nyáron történt, amikor három hacker – Gal Nagli, Sam Curry és Ian Carroll – behatolt a FIA „Driver Categorisation Portal” (Versenyzői kategorizációs portál) rendszerébe. A sikeres behatolás már néhány hónapja megtörtént, de a hackerek csak ezen a héten hozták nyilvánosságra felfedezésüket a közösségi médiában.
A csoport – amelynek tagjai mind Formula-1-rajongók – hangsúlyozta, hogy nem volt rossz szándékuk. Céljuk az volt, hogy feltárják a FIA informatikai infrastruktúrájának gyenge pontjait, hogy „az egész ökoszisztéma biztonságosabbá váljon”.
Hozzáférés a versenyzők osztályozási rendszeréhez
Az érintett terület az a rendszer volt, amellyel a FIA kezeli a versenyzők osztályozását. Míg a Forma-1-es versenyzőknek szuperlicencre van szükségük, más versenysorozatokban – különösen a hosszú távú sportokban – az arany, ezüst vagy bronz osztályozás döntő fontosságú.
A portálon keresztül az FIA kezeli ezeket a besorolásokat; a versenyzők itt kérelmezhetik státuszuk megváltoztatását is – például aranyról ezüstre, ami olyan sorozatokban előnyös lehet, ahol ezüst besorolású versenyzőknek kötelező részt venni.
A megnövelt rendszergazdai jogok lehetővé tették az adatokhoz való hozzáférést
A hackerek először létrehoztak egy profilt az FIA portálon, majd Javascript segítségével megállapították, hogy megváltoztathatják felhasználói szerepüket. A rendszer megkülönböztette a versenyzőket, az FIA alkalmazottait és az adminisztrátorokat – utóbbiak rendelkeztek a legmagasabb jogosultságokkal.
Egy speciális kéréssel sikeresen megnövelték adminisztrátori szintű hozzáférési jogosultságaikat. Újra bejelentkezés után egy teljesen más felhasználói felület nyílt meg előttük, beleértve a belső FIA-dashboardot a versenyzők osztályozására.
Az hozzáférés ellenőrzése érdekében tesztként letöltöttek egy versenyző profilját. Ezzel megtekinthették a jelszót, e-mail címet, telefonszámot, útlevéladatokat, valamint a FIA és a versenyző közötti belső kommunikációt.
A rendszerben az összes Formula-1-es versenyző is szerepelt. A hackerek észrevették, hogy Max Verstappen útlevéladatai elvileg lekérhetők lettek volna. Kifejezetten hangsúlyozták azonban, hogy itt befejezték tesztjeiket, és nem tekintettek meg vagy mentettek el érzékeny információkat.
Az FIA azonnal reagált
Miután június 3-án felfedezték a biztonsági rést, a hackerek azonnal értesítették az FIA-t. A szövetség még aznap offline vette a weboldalt, és a csoporttal együttműködve dolgozott ki egy tartós megoldást. Június 10-én az FIA megerősítette, hogy a hibát kijavították.
Az FIA szóvivője Mexikóban a Motorsport.com-nak nyilatkozta: „A FIA nyáron tudomást szerzett egy cyberbiztonsági incidensről, amely a versenyzők rangsorolásával kapcsolatos weboldallal kapcsolatos. Azonnal intézkedéseket hoztak a versenyzők adatainak biztonsága érdekében.”
„A FIA kötelezettségeinek megfelelően jelentette az incidenst az illetékes adatvédelmi hatóságoknak, és tájékoztatta az érintett néhány versenyzőt. A FIA egyéb digitális platformjai nem voltak érintettek.”
Továbbá kijelentette: „Az FIA jelentős összegeket fektetett be a kiberbiztonságba és a reziliencia-intézkedésekbe. A legmodernebb adatbiztonsági intézkedésekkel rendelkezik az összes érintett védelme érdekében, és új digitális projektjeiben következetesen alkalmazza a „biztonság a tervezés során” stratégiát.”
Az eset rávilágít arra, hogy az IT-biztonsági intézkedések milyen fontossá váltak a nagy sportszövetségek, például az FIA számára is.
