Hackers Acessam Brevemente Dados de Pilotos da FIA, Incluindo Passaporte de Max Verstappen

Hackers invadem sistema da FIA e acessam dados de pilotos

Um grupo de hackers éticos recentemente expôs uma vulnerabilidade no portal de licenciamento de pilotos da FIA (Federação Internacional de Automobilismo), obtendo acesso breve a dados sensíveis, incluindo detalhes do passaporte de Max Verstappen. A invasão, ocorrida neste verão europeu, foi revelada publicamente nesta semana pelos próprios hackers, que afirmam que a intenção era destacar falhas de segurança e fortalecer os sistemas da FIA.

Por que é importante:

A integridade dos dados pessoais de atletas em esportes globais como a Fórmula 1 é primordial. Este incidente, embora rapidamente resolvido e sem intenção maliciosa, sublinha as ameaças cibernéticas persistentes que afetam grandes organizações esportivas e ressalta a necessidade crítica de segurança digital robusta para proteger indivíduos de alto perfil.

Os Detalhes:

• A Invasão: Três hackers éticos — Gal Nagli, Sam Curry e Ian Carroll — acessaram com sucesso o portal de Categorização de Pilotos da FIA neste verão.
• Motivação: Os hackers, todos fãs de F1, declararam que seu objetivo principal era expor as fragilidades do sistema e aprimorar a segurança de "todo o ecossistema", sem intenções maliciosas.
• Sistema Alvo: A vulnerabilidade foi encontrada no portal da FIA para gerenciamento de classificações de pilotos (categorias Ouro, Prata, Bronze), crucial para várias séries de corrida, especialmente as de longa duração.
• Como Aconteceu: Os hackers criaram um perfil, e então usaram uma vulnerabilidade em JavaScript e uma requisição HTTP PUT para elevar seus direitos de acesso ao status de administrador, obtendo entrada no painel interno da FIA.
• Dados Acessados: Após obter acesso de administrador, eles puderam visualizar hashes de senha, endereços de e-mail, números de telefone, detalhes de passaporte e correspondências internas entre a FIA e os pilotos sobre a categorização.
• Dados de Verstappen: Confirmaram que todos os pilotos de F1, incluindo Max Verstappen, estavam listados no sistema e que os detalhes do passaporte dele eram acessíveis. Os hackers declararam explicitamente que pararam o teste neste ponto e não acessaram completamente nenhuma informação sensível.

Resposta da FIA:

• Ação Imediata: Os hackers notificaram a FIA em 3 de junho. O órgão regulador respondeu prontamente, tirando o site do ar no mesmo dia.
• Resolução: Trabalhando com os hackers, a FIA implementou um conserto permanente até 10 de junho.
• Declaração Oficial: Um porta-voz da FIA confirmou o incidente ao Motorsport.com, afirmando que medidas imediatas foram tomadas para proteger os dados, que as autoridades de proteção de dados relevantes foram notificadas e que o pequeno número de pilotos impactados foi informado.
• Compromisso com a Segurança: A FIA enfatizou seu extenso investimento em cibersegurança e medidas de resiliência, implementando uma política de "segurança desde o projeto" (security-by-design) para todas as novas iniciativas digitais.

O que vem a seguir:

Este incidente, embora contido, serve como um lembrete contundente para todas as grandes organizações esportivas revisarem e aprimorarem continuamente seus protocolos de segurança digital. A colaboração entre os hackers éticos e a FIA para resolver a vulnerabilidade é um resultado positivo, demonstrando o valor da divulgação responsável (responsible disclosure) no fortalecimento dos frameworks de cibersegurança em toda a indústria.