Τρεις οπαδοί της Φόρμουλα 1 χάκαραν την Παγκόσμια Ομοσπονδία Αυτοκινήτου (FIA) και βρήκαν ένα σοβαρό κενό ασφαλείας στο σύστημα αδειών της ομοσπονδίας
Η FIA επιβεβαίωσε ότι χάκερ είχαν πρόσβαση για σύντομο χρονικό διάστημα σε δεδομένα στο portal αδειών οδηγών της οργάνωσης, μεταξύ των οποίων και στο διαβατήριο του Max Verstappen. Το κενό ασφαλείας έχει πλέον κλείσει σε συνεργασία με τους χάκερ.
Το περιστατικό συνέβη το καλοκαίρι, όταν τρεις χάκερ – οι Gal Nagli, Sam Curry και Ian Carroll – εισέβαλαν στο «Driver Categorisation Portal» της FIA. Αν και η επιτυχημένη πρόσβαση πραγματοποιήθηκε πριν από μερικούς μήνες, οι χάκερ δημοσιοποίησαν την ανακάλυψή τους μόλις αυτή την εβδομάδα μέσω των κοινωνικών μέσων.
Η ομάδα, που αποτελείται αποκλειστικά από οπαδούς της Φόρμουλα 1, τόνισε ότι δεν είχε καμία κακόβουλη πρόθεση. Στόχος της ήταν να εντοπίσει τρωτά σημεία στην υποδομή πληροφορικής της FIA, προκειμένου να καταστήσει «ολόκληρο το οικοσύστημα πιο ασφαλές».
Πρόσβαση στο σύστημα κατάταξης οδηγών
Ο τομέας που επηρεάστηκε ήταν το σύστημα με το οποίο η FIA διαχειρίζεται τις κατατάξεις των οδηγών. Ενώ οι οδηγοί της Φόρμουλα 1 χρειάζονται μια σούπερ άδεια, για άλλες σειρές αγώνων – ειδικά στους αγώνες αντοχής – η κατάταξη σε χρυσό, ασήμι ή χάλκινο είναι καθοριστική.
Η FIA διαχειρίζεται αυτές τις κατηγοριοποιήσεις μέσω της πύλης. Οι οδηγοί μπορούν επίσης να υποβάλουν αιτήσεις για αλλαγή κατάστασης, για παράδειγμα από χρυσό σε ασημένιο, κάτι που μπορεί να είναι πλεονεκτικό σε σειρές με υποχρεωτικούς ασημένιους οδηγούς.
Τα αυξημένα δικαιώματα διαχειριστή επέτρεψαν την πρόσβαση στα δεδομένα
Οι χάκερ δημιούργησαν αρχικά ένα προφίλ στο portal της FIA και διαπίστωσαν με τη βοήθεια του Javascript ότι μπορούσαν να αλλάξουν τον ρόλο τους ως χρήστες. Το σύστημα έκανε διάκριση μεταξύ οδηγών, υπαλλήλων της FIA και διαχειριστών – οι τελευταίοι με τα υψηλότερα δικαιώματα.
Μέσω μιας ειδικής αίτησης κατάφεραν να αυξήσουν τα δικαιώματα πρόσβασής τους σε επίπεδο διαχειριστή. Αφού συνδέθηκαν ξανά, άνοιξε μια εντελώς διαφορετική διεπαφή χρήστη, συμπεριλαμβανομένου του εσωτερικού πίνακα ελέγχου της FIA για την κατάταξη των οδηγών.
Για να ελέγξουν την πρόσβαση, κατέβασαν δοκιμαστικά ένα μεμονωμένο προφίλ οδηγού. Έτσι, τους εμφανίστηκαν ο κωδικός πρόσβασης, η διεύθυνση ηλεκτρονικού ταχυδρομείου, ο αριθμός τηλεφώνου, τα στοιχεία του διαβατηρίου καθώς και η εσωτερική επικοινωνία μεταξύ της FIA και του οδηγού.
Στο σύστημα ήταν επίσης καταχωρημένοι όλοι οι οδηγοί της Φόρμουλα 1. Οι χάκερ παρατήρησαν ότι τα στοιχεία του διαβατηρίου του Max Verstappen ήταν κατ’ αρχήν προσβάσιμα. Ωστόσο, τόνισαν ρητά ότι σταμάτησαν τις δοκιμές τους σε αυτό το σημείο και δεν είδαν ούτε αποθήκευσαν ευαίσθητες πληροφορίες.
Η FIA αντέδρασε αμέσως
Αφού ανακάλυψαν την ευπάθεια στις 3 Ιουνίου, οι χάκερ ενημέρωσαν αμέσως τη FIA. Η ομοσπονδία έθεσε την ιστοσελίδα εκτός λειτουργίας την ίδια μέρα και συνεργάστηκε με την ομάδα για να βρει μια βιώσιμη λύση. Στις 10 Ιουνίου, η FIA επιβεβαίωσε ότι το σφάλμα είχε επιδιορθωθεί.
Ένας εκπρόσωπος της FIA δήλωσε στο Motorsport.com στο Μεξικό: «Το καλοκαίρι, η FIA ενημερώθηκε για ένα συμβάν στον κυβερνοχώρο που αφορούσε τον ιστότοπο κατάταξης των οδηγών. Αμέσως λήφθηκαν μέτρα για την ασφάλεια των δεδομένων των οδηγών.»
«Η FIA ανέφερε το συμβάν στις αρμόδιες αρχές προστασίας δεδομένων, σύμφωνα με τις υποχρεώσεις της, και ενημέρωσε τους λίγους οδηγούς που επηρεάστηκαν. Άλλες ψηφιακές πλατφόρμες της FIA δεν επηρεάστηκαν.»
Επιπλέον, ανέφερε: «Η FIA έχει επενδύσει σημαντικά σε μέτρα κυβερνοασφάλειας και ανθεκτικότητας. Διαθέτει τα πιο σύγχρονα μέτρα ασφάλειας δεδομένων για την προστασία όλων των εμπλεκόμενων μερών και ακολουθεί μια συνεπή στρατηγική ασφάλειας από το σχεδιασμό σε νέα ψηφιακά έργα.»
Η υπόθεση υπογραμμίζει πόσο σημαντικά έχουν γίνει τα μέτρα ασφάλειας πληροφορικής ακόμη και για μεγάλους αθλητικούς οργανισμούς όπως η FIA.