駭客曾短暫存取FIA車手資料，包括Max Verstappen護照

駭客入侵FIA系統，曾短暫存取車手個資

近日，一群道德駭客揭露了國際汽聯（FIA）車手駕照系統的漏洞，並在夏季短暫存取了包括Max Verstappen護照在內的敏感數據。駭客本週公開了這次事件，表示其目的是為了凸顯系統的安全性弱點，並促使FIA加強防護。

為何重要：

全球賽事如F1，選手個人資料的完整性至關重要。儘管此次事件迅速得到處理且無惡意，但它突顯了主要體育組織持續面臨的網絡威脅，以及保護高曝光度個人數據的必要性。

詳情：

• 事件概況：三位道德駭客 — Gal Nagli、Sam Curry 和 Ian Carroll — 在今年夏季成功進入了FIA的車手分級（Driver Categorisation）入口網站。
• 動機：這幾位F1粉絲表示，主要目的是揭露系統弱點，並在無惡意情況下提升「整個生態系統」的安全性。
• 目標系統：該漏洞存在於FIA管理車手分級（如金、銀、銅級別）的網站，這對多個賽事系列（尤其耐力賽）至關重要。
• 入侵方式：駭客創建了帳號，利用JavaScript漏洞及HTTP PUT請求，將權限提升至管理員級別，從而進入FIA內部儀表板。
• 存取資料：獲得管理員權限後，他們可以看到密碼雜湊值、電子郵件、電話號碼、護照詳情及FIA與車手之間關於分級的內部通信。
• Verstappen資料：他們確認所有F1車手（包括Max Verstappen）都在系統中，其護照資料亦可存取。駭客聲明，他們在此階段即停止測試，並未進一步存取敏感資訊。

FIA的回應：

• 立即行動：駭客於6月3日通知FIA。汽聯同日迅速將網站下線。
• 解決方案：FIA與駭客合作，於6月10日完成了永久性修復。
• 官方聲明：FIA發言人向Motorsport.com證實了此事件，表示已立即採取措施保護數據，通知了相關數據保護機構，並告知了少數受影響的車手。
• 安全承諾：FIA強調其在網絡安全及韌性措施上的重大投資，並在所有新數位計畫中實施「設計即安全」原則。

後續：

此次事件雖已受控，但仍是個嚴峻提醒，促使所有主要體育組織不斷審視並強化其數位安全協議。道德駭客與FIA的合作解決漏洞，是一項積極成果，顯示了負責任揭露（responsible disclosure）在加強業界網絡安全框架方面的價值。