Hackerek kezébe jutottak Verstappen és más versenyzők személyes adatai

A RacingNews365 beszámolt róla, hogy a nyár folyamán egy biztonsági incidens során hackerek rövid időre hozzáfértek több száz autóversenyző, köztük a négyszeres világbajnok Max Verstappen személyes adataihoz is.

Egy „galnagli” nevű X-felhasználó bizonyítékokkal támasztotta alá, hogy két társával együtt képes volt hozzáférni az FIA versenyzői besorolási portálján tárolt bizalmas információkhoz, például útlevélszámokhoz és személyes elérhetőségekhez.

Állításuk szerint a trió az „egész ökoszisztéma biztonságát” vizsgálta, és létrehozott egy versenyzői profilt a portálon. Ezt követően teszteltek egy elméletet, hogy vajon megszerezhetik-e az adminisztrátori jogosultságot, amit a rendszer kérésükre jóvá is hagyott.

Ez a változtatás tette lehetővé, hogy „galnagli” és társai hozzáférjenek a rendszerben tárolt összes versenyző személyes adataihoz. „A poén kedvéért” úgy döntöttek, megnézik a négyszeres Forma–1-es világbajnok Verstappen adatait is. Sikerült hozzáférniük a regnáló világbajnok önéletrajzához, szuperlicencéhez, útleveléhez és más kulcsfontosságú személyes adataihoz, de hangsúlyozták, hogy „nem töltöttek le és nem mentettek el semmilyen útlevelet vagy érzékeny személyes információt”.

A létrehozott fiókot ezután törölték, és értesítették az FIA-t a történtekről, majd közösen dolgoztak a hiba „azonnali” kijavításán.

A biztonsági rés magyarázata szerint egy „tömeges hozzárendelésnek” (mass assignment) nevezett hiba tette lehetővé az incidenst. A szerver egyszerűen megbízott az adminisztrátorrá válásra irányuló parancsban, anélkül, hogy ellenőrizte volna, a fiók rendelkezik-e ilyen jogosultságokkal. Ez nem egy klasszikus értelemben vett hackelés volt, mivel nem törték fel a védelmet, hanem egy rendszerhibát, egyfajta kiskaput használtak ki.

Az FIA közleményében részletezte, hogy „azonnali lépéseket” tettek a versenyzők adatainak védelme érdekében.