2026. június 26., péntekMindenki motorsportol.
F1

Súlyos adatbiztonsági hiba az FIA-nál – alig 10 perc alatt megvolt Verstappen útlevele és lakcíme

Tajthi AndreaTajthi Andrea2025. 10. 23.
Max Verstappen
Fotó: Mark Thompson/Getty Images / Red Bull Content Pool

A kibervédelem és a motorsport ritkán van egy lapon emlegetve. Ez most e ritka alkalmak egyike, a történet pedig nem vidám.

Az utóbbi években a Forma-1 nemcsak a pályán, hanem az adatbiztonság terén is csúcstechnológiát vonultat fel. Szponzorai között olyan kiberbiztonsági óriások szerepelnek, mint a CrowdStrike, a Darktrace vagy éppen a Bitdefender.

Ám nem minden F1-hez kapcsolódó elem esetén tökéletes a védelem: három ismert biztonsági kutató — Gal Nagli, Sam Curry és Ian Carroll — olyan sebezhetőségekre bukkant, amelyek révén hozzáférhettek az FIA adatbázisához, benne többek között Max Verstappen útlevelével és jogosítványával, valamint minden F1-es versenyző személyes adataival.

A kutatás háttere

A három kutató, akik korábban már több nagyvállalati hibát is jelentettek etikus hackerprogramokon keresztül, elhatározta, hogy megvizsgálja a Forma-1-hez kapcsolódó digitális infrastruktúrát.

Az FIA több weboldalt is működtet a versenyzők, csapatok és nemzeti motorsport-szövetségek számára. Az egyik ilyen a Driver Categorisation Portal, ahol a pilóták regisztrálhatnak, vagy frissíthetik kategóriájukat (Bronz, Ezüst, Arany, Platina). A rendszer célja, hogy a különböző versenysorozatokban kiegyenlített csapatösszetételeket biztosítson.

A kritikus hiba

A kutatók mindössze 10 perc alatt fedezték fel, hogy a weboldalon egy klasszikus, de annál veszélyesebb hibát lehet kihasználni: a Mass Assignment nevű sérülékenységet.

Ez a hiba akkor fordul elő, amikor a backend nem korlátozza megfelelően, hogy egy űrlapbeküldés során mely mezőket lehet módosítani. A támadók így az alapadatokon túl olyan paramétereket is beállíthatnak, amelyeket normál felhasználó nem is lát, például az adminisztrátori jogosultságokat.

A trió ezt kihasználva felülírta saját jogosultságát, és teljes hozzáférést szerzett az FIA rendszeréhez. Ez lehetővé tette számukra, hogy betekintsenek több tucat versenyző, köztük F1-es versenyzők dokumentumaiba és személyes adataiba.

A kutatók szerint a rendszerben többek között a következő információk voltak elérhetők:

  • Útlevélmásolatok és személyi igazolványok
  • Jogosítványok
  • Lakcímadatok
  • Születési dátumok és kapcsolattartási információk
  • A versenyzők FIA-kategóriájának státusza és története

Az etikus hackerek természetesen nem publikáltak semmilyen személyes adatot, és azonnal jelentették a hibát az FIA-nak a felelős bejelentés szabályai szerint.

Az FIA gyorsan reagált: lezárta az érintett portált, kijavította a hibát, és biztonsági auditot indított. Bár az incidens nem vezetett nyilvános adatkiszivárgáshoz, a felfedezés jól mutatja, hogy a sportvilág digitális infrastruktúrája ugyanolyan támadási felületet jelent, mint bármely más vállalati hálózat.

Kövess minket a Google-ben

Forrásdatabreaches.net

CímkékadatbiztonságF1FIAForma-1hackerMax Verstappen