Hackers acceden brevemente a datos de pilotos de la FIA, incluyendo el pasaporte de Max Verstappen

Hackers acceden brevemente a datos de pilotos de la FIA, incluyendo el pasaporte de Max Verstappen

Un grupo de hackers éticos expuso recientemente una vulnerabilidad en el portal de licencias de pilotos de la FIA, obteniendo acceso breve a datos sensibles, incluyendo los detalles del pasaporte de Max Verstappen. La brecha, ocurrida este verano, fue revelada públicamente esta semana por los hackers, quienes afirman que su intención era destacar las debilidades de seguridad y fortalecer los sistemas de la FIA.

Por qué importa:

La integridad de los datos personales de los atletas en deportes globales como la Fórmula 1 es primordial. Este incidente, aunque resuelto rápidamente y sin intenciones maliciosas, subraya las persistentes amenazas cibernéticas que enfrentan las principales organizaciones deportivas y resalta la necesidad crítica de una seguridad digital robusta para proteger a individuos de alto perfil.

Los detalles:

• La Brecha: Tres hackers éticos — Gal Nagli, Sam Curry e Ian Carroll — accedieron exitosamente al portal de Categorización de Pilotos de la FIA este verano.
• Motivación: Los hackers, todos aficionados a la F1, declararon que su objetivo principal era exponer las debilidades del sistema y mejorar la seguridad de "todo el ecosistema" sin intenciones maliciosas.
• Sistema Objetivo: La vulnerabilidad se encontró en el portal de la FIA para gestionar las clasificaciones de pilotos (categorías Oro, Plata, Bronce), crucial para varias series de carreras, particularmente las de resistencia.
• Cómo Sucedió: Los hackers crearon un perfil y luego usaron una vulnerabilidad de JavaScript y una solicitud HTTP PUT para elevar sus derechos de acceso a nivel de administrador, obteniendo entrada al panel interno de la FIA.
• Datos Accedidos: Al obtener acceso de administrador, pudieron ver hashes de contraseñas, direcciones de correo electrónico, números de teléfono, detalles de pasaportes y correspondencia interna entre la FIA y los pilotos sobre la categorización.
• Datos de Verstappen: Confirmaron que todos los pilotos de F1, incluido Max Verstappen, estaban listados en el sistema y que los detalles de su pasaporte eran accesibles. Los hackers declararon explícitamente que detuvieron sus pruebas en este punto y no accedieron completamente a ninguna información sensible.

La Respuesta de la FIA:

• Acción Inmediata: Los hackers notificaron a la FIA el 3 de junio. El organismo rector respondió rápidamente, poniendo el sitio fuera de línea el mismo día.
• Resolución: Trabajando con los hackers, la FIA implementó una solución permanente para el 10 de junio.
• Declaración Oficial: Un portavoz de la FIA confirmó el incidente a Motorsport.com, declarando que se tomaron medidas inmediatas para asegurar los datos, se notificó a las autoridades de protección de datos relevantes y se informó a la pequeña cantidad de pilotos afectados.
• Compromiso con la Seguridad: La FIA enfatizó su extensa inversión en ciberseguridad y medidas de resiliencia, implementando una política de "seguridad por diseño" para todas las nuevas iniciativas digitales.

Próximos Pasos:

Este incidente, aunque contenido, sirve como un recordatorio severo para todas las principales organizaciones deportivas de revisar y mejorar continuamente sus protocolos de seguridad digital. La colaboración entre los hackers éticos y la FIA para resolver la vulnerabilidad es un resultado positivo, demostrando el valor de la divulgación responsable para fortalecer los marcos de ciberseguridad en toda la industria.