Hacker violano brevemente i dati dei piloti FIA, incluso il passaporto di Max Verstappen

Hacker accedono brevemente ai dati dei piloti FIA

Un gruppo di hacker etici ha recentemente scoperto una vulnerabilità nel portale delle licenze dei piloti della FIA (Federazione Internazionale dell'Automobile), ottenendo un accesso temporaneo a dati sensibili, inclusi i dettagli del passaporto di Max Verstappen. La violazione, avvenuta quest'estate, è stata resa pubblica questa settimana dagli stessi hacker, che affermano che il loro intento fosse mettere in luce le debolezze della sicurezza e rafforzare i sistemi della FIA.

Perché è importante:

L'integrità dei dati personali degli atleti negli sport globali come la Formula 1 è fondamentale. Questo incidente, sebbene rapidamente risolto e non malevolo, sottolinea le persistenti minacce informatiche che affrontano le principali organizzazioni sportive e evidenzia la necessità critica di una solida sicurezza digitale per proteggere individui di alto profilo.

I Dettagli:

• La Violazione: Tre hacker etici — Gal Nagli, Sam Curry e Ian Carroll — sono riusciti quest'estate ad accedere al portale FIA per la Categorizzazione dei Piloti.
• Motivazione: Gli hacker, tutti fan di F1, hanno dichiarato che il loro obiettivo primario fosse esporre le fragilità del sistema e migliorare la sicurezza dell'"intero ecosistema" senza intenti malevoli.
• Sistema Colpito: La vulnerabilità è stata trovata nel portale FIA utilizzato per gestire le classificazioni dei piloti (categorie Oro, Argento, Bronzo), essenziale per varie serie di gare, in particolare quelle di endurance.
• Come è Successo: Gli hacker hanno creato un profilo, quindi hanno utilizzato una vulnerabilità JavaScript e una richiesta HTTP PUT per elevare i loro diritti di accesso allo stato di amministratore, ottenendo l'ingresso nella dashboard interna della FIA.
• Dati Acceduti: Una volta ottenuto l'accesso da amministratore, hanno potuto visualizzare hash di password, indirizzi email, numeri di telefono, dettagli del passaporto e corrispondenza interna tra la FIA e i piloti riguardo alla categorizzazione.
• Dati di Verstappen: Hanno confermato che tutti i piloti di F1, incluso Max Verstappen, erano elencati nel sistema e che i dettagli del suo passaporto erano accessibili. Gli hacker hanno dichiarato esplicitamente di aver interrotto i test a questo punto e di non aver avuto accesso completo a informazioni sensibili.

La Risposta della FIA:

• Azione Immediata: Gli hacker hanno notificato la FIA il 3 giugno. L'organo di governo ha risposto prontamente, mettendo il sito offline lo stesso giorno.
• Risoluzione: Lavorando con gli hacker, la FIA ha implementato una correzione permanente entro il 10 giugno.
• Dichiarazione Ufficiale: Un portavoce della FIA ha confermato l'incidente a Motorsport.com, dichiarando che sono stati presi provvedimenti immediati per proteggere i dati, che le autorità competenti per la protezione dei dati sono state notificate e che il piccolo numero di piloti interessati è stato informato.
• Impegno per la Sicurezza: La FIA ha sottolineato il suo esteso investimento in cibersecurity e misure di resilienza, implementando una politica di "security-by-design" per tutte le nuove iniziative digitali.

Cosa Succede Ora:

Questo incidente, sebbene circoscritto, serve come un duro promemoria per tutte le principali organizzazioni sportive a rivedere e migliorare continuamente i propri protocolli di sicurezza digitale. La collaborazione tra gli hacker etici e la FIA per risolvere la vulnerabilità è un risultato positivo, dimostrando il valore della divulgazione responsabile (responsible disclosure) nel rafforzare i framework di cybersecurity in tutto il settore.