Międzynarodowa Federacja Samochodowa potwierdziła iż latem doszło w jej systemach informatycznych do włamania, które wystawiło na niebezpieczeństwo prywatne dane kierowców Formuły 1 w tym mistrza świata Maksa Verstappena.

Hakerzy, którzy dokonali odkrycia luki nie wykorzystali jednak tych danych do niecnych celów, a jedynie zebrali dowody na udane włamanie, aby następnie skontaktować się z Federacją i pomóc jej w naprawieniu błędu w swoim portalu dla kierowców.

Latem bieżącego roku hakerzy uzyskali dostęp do portalu FIA, odkrywając poważną lukę bezpieczeństwa, dzięki której mogli ściągnąć prywatne dane zawodników, w tym ich paszporty, licencje i inne dokumenty zbierane przez Federację.

W skład grupy wchodził Nagli, określający siebie jako Haker, a pomagali mu Sam Curry oraz Ian Carroll. Wedle zamieszczonego w serwisie X wpisu, potrzebowali oni zaledwie 10 minut, aby dostać się do wrażliwych informacji kierowców F1.

"Znaleźliśmy sposób na dostęp do paszportu Maksa Verstappena, jego prawa jazdy oraz prywatnych informacji. Tak samo było w przypadku wrażliwych danych pozostałych kierowców Formuły 1" pisał Nagli. "Zajęło to nam 10 minut, wykorzystując prosty błąd w zabezpieczeniach."

"Sprawdzaliśmy zabezpieczenia całego ekosystemu. Tak wpadliśmy na poważną lukę w krytycznym portalu zarządzanym przez FIA, która została zgłoszona i naprawiona w mniej niż 24 godziny."

Haker podkreślił, że nie miał złych intencji i o wszystkim poinformował FIA, a następnie z nią współpracował, aby naprawić lukę.

"Ważne sprostowanie. NIE ściągnęliśmy ani nie zapisaliśmy żadnych paszportów czy wrażliwych danych osobowych."

"Sprawdziliśmy istnienie podatności, zrobiliśmy zrzuty ekranów jako potwierdzenie i natychmiast zaprzestaliśmy dalszych testów."

"Wszelkie dane testowe zostały usunięte. Dane żadnego kierowcy nie zostały przez nas naruszone."

"Pracowaliśmy z FIA, aby sprawnie naprawić błąd. Uznanie dla ich zespołu, który szybko odpowiedział i podszedł do sprawy poważnie."

Rzecznik prasowy potwierdził wystąpienie takiego incydentu.

"FIA została poinformowana o incydencie cybernetycznym dotyczącym strony internetowej FIA Driver Categorisation, do którego doszło latem" pisano w odpowiedzi na pytanie PlanetF1.com.

"Podjęto natychmiastowe kroki w celu zabezpieczenia danych kierowców, a FIA zgłosiła ten incydent odpowiednim organom ochrony danych, zgodnie ze swoimi obowiązkami."

"Powiadomiono również niewielką liczbę kierowców, których dane zostały objęte tym incydentem. Żadne inne platformy cyfrowe FIA nie zostały nim dotknięte."

"FIA zainwestowała znaczne środki w cyberbezpieczeństwo i zwiększanie odporności swoich systemów cyfrowych. Wdrożono najwyższej klasy środki ochrony danych, aby chronić wszystkich interesariuszy, a w nowych inicjatywach cyfrowych stosowana jest zasada security-by-design [przyp. bezpieczeństwa w fazie projektowania]."

To nie pierwszy atak hackerski na infrastrukturę Międzynarodowej Federacji Samochodowej. W zeszłym roku hakerom udało się złamać zabezpieczenia kilku kont email. FIA potwierdziła wtedy jedynie, że za sprawą metody phisingu "doszło do nieautoryzowanego dostępu do danych osobowych zawartych w dwóch skrzynkach email należących do FIA."

"FIA podjęła wszelkie działania w celu rozwiązania problemów, w szczególności poprzez szybkie zablokowanie nieuprawnionych dostępów, gdy tylko dowiedziała się o incydentach, oraz powiadomiła Commission Nationale de l'Informatique et des Libertes (francuski organ ochrony danych osobowych) oraz Prepose Federal a la Protection des Donnees et a la Transparence (szwajcarski organ ochrony danych osobowych)."