ハッカー、マックス・フェルスタッペン選手のパスポート情報含むFIAドライバーデータを一時的に侵害

ハッカー、マックス・フェルスタッペン選手のパスポート情報含むFIAドライバーデータを一時的に侵害

倫理的ハッカーのグループが最近、FIAのドライバーライセンスポータルの脆弱性を発見し、マックス・フェルスタッペン選手のパスポート情報を含む機密データに一時的にアクセスしました。この夏に発生したこのインシデントは、ハッカーたちがセキュリティの弱点を露呈させ、FIAのシステム強化を目的としたと発表し、今週公にされました。

なぜ重要か：

フォーミュラ1のようなグローバルスポーツにおけるアスリートの個人情報保護は極めて重要です。このインシデントは、迅速に解決され悪意のあるものではなかったものの、主要スポーツ組織が直面するサイバー脅威の継続性を浮き彫りにし、著名人を保護するための堅牢なデジタルセキュリティの必要性を強調しています。

詳細：

• 侵害: 3名の倫理的ハッカー（ガル・ナグリ、サム・カリー、イアン・キャロル）が、この夏FIAのドライバー・カテゴリー分類ポータルにアクセスすることに成功しました。
• 動機: F1ファンであるハッカーたちは、悪意なくシステムの問題点を露呈させ、「エコシステム全体」のセキュリティを向上させることが主な目的だったと述べています。
• 対象システム: この脆弱性は、特に耐久レースで重要な、ドライバーのカテゴリー（ゴールド、シルバー、ブロンズ）を管理するFIAのポータルで見つかりました。
• 経緯: ハッカーはプロフィールを作成後、JavaScriptの脆弱性とHTTP PUTリクエストを利用して管理者権限へ昇格し、FIAの内部ダッシュボードに侵入しました。
• アクセスされたデータ: 管理者アクセス権を取得したことで、パスワードハッシュ、メールアドレス、電話番号、パスポート情報、そしてFIAとドライバー間のカテゴリーに関する内部通信を閲覧可能でした。
• フェルスタッペン選手のデータ: 全てのF1ドライバー、マックス・フェルスタッペン選手を含む名簿がシステムに存在し、彼のパスポート情報にアクセス可能であったことを確認しました。ハッカーは、この時点でテストを停止し、機密情報を完全にアクセスすることはなかったと明言しています。

FIAの対応：

• 即時対応: ハッカーは6月3日にFIAへ通知しました。FIAは同日、ウェブサイトを一時停止して迅速に対応しました。
• 解決: ハッカーと協力し、FIAは6月10日までに恒久的な修正を完了しました。
• 公式声明: FIAの広報担当者は Motorsport.com に対し、データの保護のために即時措置を講じ、関係するデータ保護当局に通知し、影響を受けた少数のドライバーにも連絡したことを確認しました。
• セキュリティへのコミットメント: FIAは、サイバーセキュリティおよびレジリエンス対策に多額の投資を行っており、すべての新規デジタルイニシアチブに「セキュリティ・バイ・デザイン」ポリシーを実装していることを強調しました。

今後の展望：

このインシデントは、封じ込められたものの、すべての主要スポーツ組織に対し、デジタルセキュリティプロトコルを継続的に見直し、強化する必要があることを強く示唆しています。倫理的ハッカーとFIAの協力による脆弱性の解決は、業界全体のサイバーセキュリティフレームワークを強化するための責任ある開示の価値を示す、肯定的な成果です。