Een ernstige beveiligingsfout in een systeem van de Fédération Internationale de l’Automobile (FIA) heeft persoonlijke gegevens van Formule 1-coureurs blootgelegd – waaronder die van Max Verstappen, zo maakten onderzoekers deze week bekend.
Drie onafhankelijke cybersecurityonderzoekers – Gal Nagli, Sam Curry en Ian Carroll – ontdekten de kwetsbaarheid tijdens tests van het FIA Driver Categorization-portaal. Dat systeem wordt door coureurs gebruikt om officiële documenten te uploaden, zoals paspoorten, rijbewijzen en racedocumentatie.
Door misbruik te maken van een simpele bug in een HTTP-verzoek wist het team hun toegangsrechten op te schalen naar administratorniveau. Hierdoor kregen ze toegang tot gevoelige informatie zoals e-mailadressen, telefoonnummers, cv’s en zelfs gehashte wachtwoorden van coureurs.
Toen ze de ernst van het lek inzagen, meldden de onderzoekers het probleem direct aan de FIA op 3 juni. De organisatie haalde de betreffende website nog diezelfde dag offline. Binnen 72 uur was de fout volledig verholpen.
De FIA bevestigde het incident en gaf aan dat het systeem is beveiligd, de getroffen coureurs zijn geïnformeerd en dat de datalek is gemeld bij de relevante privacytoezichthouders. Andere FIA-platforms – waaronder het Super License-systeem van de Formule 1 – zijn volgens de organisatie niet getroffen.
