Poruszenie w padoku F1. Atak hakerów, otrzymali dostęp do poufnych danych
Przed Grand Prix Meksyku świat obiegła szokująca informacja. Latem tego roku doszło do ataku hakerów na bazę danych FIA, podczas którego sprawcy na krótko uzyskali dostęp do danych osobowych setek kierowców wyścigowych, w tym m.in. czterokrotnego mistrza świata, Maxa Verstappena.
Latem bieżącego roku doszło do incydentu, który wstrząsnął światem motorsportu. Międzynarodowa Federacja Samochodowa (FIA) potwierdziła teraz, że kilka miesięcy temu hakerzy na krótko uzyskali dostęp do danych osobowych setek kierowców wyścigowych - w tym największych gwiazd Formuły 1 z aktualnym mistrzem świata, Maxem Verstappenem, na czele.
Jak ujawniono, problem dotyczył systemu FIA odpowiedzialnego za kategoryzację kierowców, w którym przechowywane są m.in. informacje o licencjach, dokumentach tożsamości i danych kontaktowych zawodników.
Hakerzy włamali się na serwer FIA. Mieli dostęp do danych Maxa Verstappena i innych kierowców
Sprawa wyszła na jaw, gdy użytkownik portalu X o pseudonimie Galnagli opisał, że on i dwóch jego znajomych przypadkowo odkryli lukę w systemie. Twierdzi, że ich celem nie było włamanie w złej wierze, lecz "sprawdzenie bezpieczeństwa całego ekosystemu FIA". Z relacji wynika, że najpierw założyli w portalu profil kierowcy, a następnie przetestowali pewną teorię - wysłali do serwera żądanie nadania uprawnień administratora. Ku ich zaskoczeniu system bez żadnej weryfikacji przyznał im najwyższy poziom dostępu.
Ta niebezpieczna luka, określana jako "mass assignment" (czyli przydział masowy), sprawiła, że serwer FIA ufał poleceniom przesyłanym z zewnątrz i automatycznie nadawał uprawnienia. Dzięki temu Galnagli i jego współpracownicy mogli przeglądać dane wszystkich kierowców zapisanych w systemie. Jak sam podał, sprawdzili dla przykładu dane Maxa Verstappena - wgląd obejmował jego CV, superlicencję, numer paszportu i inne kluczowe informacje osobiste.
Haker zapewnia jednak, że nie pobierał ani nie zapisywał żadnych zdjęć paszportów ani wrażliwych danych. Po odkryciu błędu on i jego wspólnicy szybko poinformowali FIA i współpracowali przy jego szybkim usunięciu. Konto testowe, które utworzyli, zostało natychmiast usunięte, a federacja rozpoczęła analizę sytuacji.
W oficjalnym oświadczeniu FIA potwierdziła incydent. "FIA dowiedziała się o incydencie cybernetycznym dotyczącym strony FIA Driver Categorisation latem. Natychmiast podjęto kroki, aby zabezpieczyć dane kierowców, a FIA zgłosiła sprawę właściwym organom ochrony danych zgodnie ze swoimi obowiązkami. Poinformowano także niewielką liczbę kierowców dotkniętych tym problemem" - przekazano.
Federacja dodała, że inne jej platformy cyfrowe nie zostały naruszone, a organizacja "intensywnie inwestuje w cyberbezpieczeństwo i odporność całego środowiska cyfrowego". W ramach nowych inicjatyw FIA wdraża zasadę security-by-design, czyli projektowania systemów z myślą o bezpieczeństwie już od najwcześniejszego etapu tworzenia.
