Хакеры получили доступ к паспорту Ферстаппена. FIA подтвердила

Федерация автоспорта FIA подтвердила факт кибератаки, в результате которой хакеры временно получили доступ к персональным данным сотен гонщиков, среди которых был и четырехкратный чемпион Формулы-1 Макс Ферстаппен.

Инцидент произошел летом этого года, когда пользователь X с ником galnagli вместе с двумя сообщниками обнаружил уязвимость в системе FIA Driver Categorisation - портале, где хранятся личные данные пилотов, в частности номера паспортов и контактная информация.

По словам galnagli, группа сначала создала страницу гонщика для теста безопасности системы, но впоследствии решила проверить, возможно ли получить административные права. Запрос на повышение уровня доступа сервер принял без проверки - это позволило взломать систему.

В результате хакеры получили полный доступ к базе данных, включая личные файлы гонщиков, и «для эксперимента» открыли страницу Ферстаппена, где содержались его резюме, суперлицензия и копия паспорта. При этом они заявили, что не сохраняли и не загружали никаких документов.

После обнаружения уязвимости хакеры сообщили об инциденте FIA, а созданный ими аккаунт был удален. Уязвимость оказалась связанной с механизмом mass assignment - ошибкой, из-за которой сервер «доверяет» запросам без проверки прав пользователя.

FIA подтвердила факт инцидента в своем заявлении:

«FIA узнала о киберинциденте, связанном с сайтом категоризации гонщиков. Мы немедленно приняли меры для защиты данных и сообщили компетентным органам, а также проинформировали ограниченный круг пилотов, которых касалась проблема. Другие цифровые платформы FIA не пострадали», - говорится в официальном комментарии.