Três fãs de Fórmula 1 invadiram a Federação Internacional de Automobilismo (FIA) e encontraram uma grave falha no sistema de licenciamento da federação
A FIA confirmou que hackers tiveram acesso temporário aos dados do portal de licenças de piloto da organização, incluindo o passaporte de Max Verstappen. A falha de segurança já foi corrigida em colaboração com os hackers.
O incidente ocorreu no verão, quando três hackers – Gal Nagli, Sam Curry e Ian Carroll – invadiram o «Driver Categorisation Portal» da FIA. Embora o acesso bem-sucedido tenha ocorrido há alguns meses, os hackers só tornaram a sua descoberta pública esta semana nas redes sociais.
O grupo, composto por fãs de Fórmula 1, enfatizou que não tinha nenhuma intenção maliciosa. O objetivo era descobrir vulnerabilidades na infraestrutura de TI da FIA para tornar «todo o ecossistema mais seguro».
Acesso ao sistema de classificação de pilotos
A área afetada foi o sistema que a FIA utiliza para gerir as classificações dos pilotos. Enquanto os pilotos de Fórmula 1 precisam de uma superlicença, para outras séries de corridas — especialmente em provas de longa distância — a classificação em ouro, prata ou bronze é decisiva.
A FIA gere essas classificações através do portal; os pilotos também podem solicitar alterações de estatuto, por exemplo, de ouro para prata, o que pode ser vantajoso em séries com pilotos prata obrigatórios.
Os hackers criaram primeiro um perfil no portal da FIA e descobriram, com a ajuda de Javascript, que podiam alterar o seu papel de utilizador. O sistema distinguia entre pilotos, funcionários da FIA e utilizadores externos.
Os hackers primeiro criaram um perfil no portal da FIA e, com a ajuda do Javascript, descobriram que podiam alterar a sua função de utilizador. O sistema distinguia entre pilotos, funcionários da FIA e administradores – estes últimos com os direitos mais elevados.
Através de um pedido especial, conseguiram aumentar os seus direitos de acesso ao nível de administrador. Após fazerem login novamente, uma interface de utilizador completamente diferente foi aberta para eles, incluindo o painel interno da FIA para classificação de pilotos.
Para verificar o acesso, eles carregaram um único perfil de piloto como teste. Isso lhes permitiu ver a senha, endereço de e-mail, número de telefone, dados do passaporte e comunicações internas entre a FIA e o piloto.
Todos os pilotos de Fórmula 1 também estavam listados no sistema. Os hackers perceberam que os dados do passaporte de Max Verstappen poderiam, em princípio, ser acessados. No entanto, eles enfatizaram expressamente que encerraram os seus testes nesse ponto e não visualizaram nem armazenaram informações confidenciais.
A FIA reagiu imediatamente
Depois de descobrirem a vulnerabilidade em 3 de junho, os hackers informaram imediatamente a FIA. A federação tirou o site do ar no mesmo dia e trabalhou em conjunto com o grupo para encontrar uma solução sustentável. Em 10 de junho, a FIA confirmou que a falha havia sido corrigida.
Um porta-voz da FIA declarou ao Motorsport.com no México: «A FIA tomou conhecimento, no verão, de um incidente cibernético relacionado com o site de classificação dos pilotos. Foram imediatamente tomadas medidas para proteger os dados dos pilotos.»
«A FIA comunicou o incidente às autoridades competentes em matéria de proteção de dados, em conformidade com as suas obrigações, e informou os poucos pilotos afetados. Outras plataformas digitais da FIA não foram afetadas.»
Acrescentou ainda: «A FIA investiu significativamente em cibersegurança e medidas de resiliência. Dispõe de medidas de segurança de dados de última geração para proteger todas as partes envolvidas e segue uma estratégia consistente de segurança desde a conceção em novos projetos digitais.»
O caso sublinha a importância que as medidas de segurança informática assumiram também para grandes federações desportivas como a FIA.