A kibervédelem és a motorsport ritkán van egy lapon emlegetve. Ez most e ritka alkalmak egyike, a történet pedig nem vidám.
Az utóbbi években a Forma-1 nemcsak a pályán, hanem az adatbiztonság terén is csúcstechnológiát vonultat fel. Szponzorai között olyan kiberbiztonsági óriások szerepelnek, mint a CrowdStrike, a Darktrace vagy éppen a Bitdefender.
Ám nem minden F1-hez kapcsolódó elem esetén tökéletes a védelem: három ismert biztonsági kutató — Gal Nagli, Sam Curry és Ian Carroll — olyan sebezhetőségekre bukkant, amelyek révén hozzáférhettek az FIA adatbázisához, benne többek között Max Verstappen útlevelével és jogosítványával, valamint minden F1-es versenyző személyes adataival.
A kutatás háttere
A három kutató, akik korábban már több nagyvállalati hibát is jelentettek etikus hackerprogramokon keresztül, elhatározta, hogy megvizsgálja a Forma-1-hez kapcsolódó digitális infrastruktúrát.
Az FIA több weboldalt is működtet a versenyzők, csapatok és nemzeti motorsport-szövetségek számára. Az egyik ilyen a Driver Categorisation Portal, ahol a pilóták regisztrálhatnak, vagy frissíthetik kategóriájukat (Bronz, Ezüst, Arany, Platina). A rendszer célja, hogy a különböző versenysorozatokban kiegyenlített csapatösszetételeket biztosítson.
A kritikus hiba
A kutatók mindössze 10 perc alatt fedezték fel, hogy a weboldalon egy klasszikus, de annál veszélyesebb hibát lehet kihasználni: a Mass Assignment nevű sérülékenységet.
Ez a hiba akkor fordul elő, amikor a backend nem korlátozza megfelelően, hogy egy űrlapbeküldés során mely mezőket lehet módosítani. A támadók így az alapadatokon túl olyan paramétereket is beállíthatnak, amelyeket normál felhasználó nem is lát, például az adminisztrátori jogosultságokat.
A trió ezt kihasználva felülírta saját jogosultságát, és teljes hozzáférést szerzett az FIA rendszeréhez. Ez lehetővé tette számukra, hogy betekintsenek több tucat versenyző, köztük F1-es versenyzők dokumentumaiba és személyes adataiba.
A kutatók szerint a rendszerben többek között a következő információk voltak elérhetők:
- Útlevélmásolatok és személyi igazolványok
- Jogosítványok
- Lakcímadatok
- Születési dátumok és kapcsolattartási információk
- A versenyzők FIA-kategóriájának státusza és története
Az etikus hackerek természetesen nem publikáltak semmilyen személyes adatot, és azonnal jelentették a hibát az FIA-nak a felelős bejelentés szabályai szerint.
Az FIA gyorsan reagált: lezárta az érintett portált, kijavította a hibát, és biztonsági auditot indított. Bár az incidens nem vezetett nyilvános adatkiszivárgáshoz, a felfedezés jól mutatja, hogy a sportvilág digitális infrastruktúrája ugyanolyan támadási felületet jelent, mint bármely más vállalati hálózat.
