Hackers hadden kortstondig toegang tot FIA-gegevens van Max Verstappen

In dit artikel:

Drie ethische hackers — Gal Nagli, Sam Curry en Ian Carroll — drongen afgelopen zomer het licentieportaal van de FIA binnen om kwetsbaarheden aan het licht te brengen. Volgens henzelf zijn ze grote Formule 1-fans en hadden ze geen kwade bedoelingen; ze wilden het systeem juist veiliger maken. Het trio maakte een account aan, ontdekte in de JavaScript-code dat de gebruikersrol aangepast kon worden en wijzigde via een HTTP PUT-request hun rol naar admin. Na opnieuw inloggen kregen ze toegang tot een intern dashboard voor de categorisatie van coureurs (goud, zilver, brons en superlicenties).

De hackers konden profielen openen en zagen onder meer e-mailadressen, telefoonnummers, wachtwoord-hashes, paspoortgegevens en interne communicatie tussen de FIA en bestuurders. Ze merkten dat ook Formule 1-coureurs in het systeem stonden en dat het bijvoorbeeld mogelijk was het paspoort van Max Verstappen in te zien, maar zeggen daarna gestopt te zijn en geen gevoelige data actief te hebben bekeken.

De hack vond plaats op 3 juni; hetzelfde day werd de FIA gewaarschuwd. De federatie schakelde direct maatregelen in, haalde de site offline en verklaarde op 10 juni dat de reparatie voltooid was. De FIA meldt dat slechts een klein aantal coureurs is geïnformeerd, dat de bevoegde privacy-autoriteiten op de hoogte zijn gebracht en dat geen andere digitale platforms van de FIA zijn aangetast. In een verklaring benadrukt de FIA dat ze stevig in cyberbeveiliging investeert en 'security-by-design' toepast bij nieuwe digitale projecten.