- Säkerhetsforskare hävdar att de lyckades lura FIA till att ge dem administratörsbehörighet
- En allvarlig sårbarhet på FIA:s webbplats gav dem tillgång till personuppgifter för förare
- Hittills finns det inget som tyder på att kriminella har utnyttjat läckan
Miljontals kronor investeras varje år i cybersäkerhet inom Formel 1, men det har inte skyddat sportens förare från att få sina personliga uppgifter komprometterade.
Säkerhetsforskarna Ian Carroll, Gal Nagli och Sam Curry hävdar att de lyckades hacka FIA:s officiella webbplats och därigenom få tillgång till varje förares pass, körkort och annan personlig information.
Lyckligtvis finns det inga bevis för att den här sårbarheten har utnyttjats av cyberbrottslingar, och FIA har nu åtgärdat felet. Händelsen fungerar dock som en tydlig varning till tredjeparts-hemsidor som kanske tror att de är för nischade för att bli måltavlor.
Hur gick det till?
Intrånget skedde via FIA:s webbplats för förarkategorisering – den portal där förare ansöker om sin FIA Super License, som de måste förnya varje år för att få fortsätta tävla. Eftersom portalen är offentlig kunde forskarna skapa ett eget konto, fylla i sina uppgifter och redigera sin profil.
Det var då de upptäckte att servern skickade tillbaka mer information än de själva angett. När de exempelvis ändrade sitt namn och mejl fick de även tillbaka sitt födelsedatum och – avgörande nog – sin roll i systemet. Roller motsvarar åtkomstnivåer: förare, FIA-personal eller administratör.
Genom att utnyttja en så kallad Mass Assignment-sårbarhet kunde forskarna helt enkelt ändra sin roll till “admin” – och fick därmed full tillgång.
Administratörsbehörigheten gav dem tillgång till allt: samtliga F1-förares ansökningar, uppladdade dokument som pass och kontaktuppgifter, samt interna FIA-kommunikationer om licensbeslut.
“FIA blev under sommaren medveten om ett cyberincident som rörde FIA:s webbplats för förarkategorisering,” berättade en talesperson för TechRadar Pro.
“Omedelbara åtgärder vidtogs för att säkra förarnas data, och FIA rapporterade händelsen till relevanta dataskyddsmyndigheter enligt sina skyldigheter. De berörda förarna har också informerats. Inga andra FIA-plattformar påverkades.”
Talespersonen tillade att FIA har investerat stort i cybersäkerhet och implementerat en “security-by-design”-strategi i alla digitala initiativ.
Inom Formel 1 är dataskydd en absolut prioritet. De flesta team har egna cybersäkerhetspartners – som Williams med Keeper Security, Ferrari med Bitdefender och Red Bull med 1Password. Händelsen visar dock att även med omfattande skyddsåtgärder kan svaga länkar hos leverantörer, partners eller i detta fall själva förbundet utgöra en risk.
➡️ Läs vår fullständiga guide till de bästa tjänsterna för skydd mot identitetsstöld
Bäst totalt sett: Aura
Bäst för familjer: IdentityForce
Bäst för nybörjare: Experian IdentityWorks
