Max Verstappen és más F1-es pilóták személyes adatai is illetéktelen kezekbe kerülhettek volna, ha az FIA egyik oldalát feltörő hackereket rossz szándék vezérli. A komoly biztonsági résre rámutatva ők azonban állításuk szerint rögtön értesítették az FIA-t, és semmilyen személyes adatot nem néztek meg vagy tároltak el.
Három férfi, név szerint Gal Nagli, Sam Curry és Ian Carroll feltörték a Nemzetközi Automobil Szövetség (FIA) azon oldalát, amelyen autóversenyzők regisztrálhatnak és kérvényezhetik a számos FIA-sorozatban, például a WEC-ben is használt besorolásukat (bronz, silver, gold, platinum). Ez eltér attól a rendszertől, amely az F1-es super licence-t birtoklókat kezeli, ám mivel ezek a versenyzők általában automatikusan megkapják a platinum besorolást is, a közel 7000 versenyző adatait tartalmazó drivercategorisation.fia.com-on keresztül elérhető adatbázisban is szerepel a nevük.
Ide regisztráltak a hackerek, a folyamat során pedig észrevettek egy kiskaput, aminek a segítségével az oldal adminisztrátoraivá válhattak. Ezt egy, a Forma–1-gyel kapcsolatos sebezhetőségeket bemutató blogsorozat első részében tárta a világ elé a biztonsági kutatóként dolgozó Carroll.
Az adminisztrátori jogosultság pedig lehetővé tette a hackereknek, hogy hozzáférjenek a pilóták érzékeny személyes adataihoz. „Úgy tűnt, teljes adminisztrátori hozzáférésünk van az FIA versenyzői besorolási weboldalához” – olvasható a blogbejegyzésben, majd a hackerek hangsúlyozták, hogy nem néztek meg és nem tároltak el semmilyen érzékeny információt, és rögtön jelentették a biztonsági rést az FIA-nak.
„A tesztelést leállítottuk, miután láttuk, hogy hozzá lehet férni Max Verstappen útleveléhez, önéletrajzához, versenyengedélyéhez, jelszó-hashéhez és személyazonosításra alkalmas adataihoz (PII) – írta Carroll. – Ez az adatbázis minden besorolással rendelkező Forma–1-es versenyző adataihoz hozzáférést biztosított, valamint az FIA belső működésére vonatkozó érzékeny információkat is tartalmazott. Nem nyitottunk meg és nem mentettünk el semmilyen útlevelet vagy érzékeny adatot, és minden másolatot töröltünk.”
Az FIA a blogbejegyzés után közleményben reagált és elismerte a támadás tényét, valamint megerősítette, hogy azonnal orvosolták a hibát.
„Az FIA a nyár folyamán tudomást szerzett egy kibertámadásról, amely az FIA Driver Categorisation weboldalt érintette. Azonnali intézkedéseket tettünk a versenyzők adatainak védelmére, és a vonatkozó adatvédelmi hatóságok felé is jelentettük az incidenst az FIA kötelezettségeinek megfelelően. Értesítettük továbbá a kis számú érintett versenyzőt is. Az FIA egyéb digitális platformjai nem érintettek az esetben” – olvasható a Racefans által megosztott közleményben.
A blogban a hackerek elmondták, hogy az FIA még a támadás napján, június 3-án elérhetetlenné tette az oldalt, majd egy héttel később átfogó javítást vezettek be. Az FIA ezt a közleményben is megerősítette, mondván jelentős összegeket fektetett a kiberbiztonsági és az informatikai ellenálló képességének fejlesztésébe, és „világszínvonalú adatbiztonsági intézkedéseket vezetett be minden érintett védelme érdekében”, valamint „minden új digitális kezdeményezésnél a biztonság-tervezés elvét alkalmazza”.