Začátkem letošního léta se hackeři po narušení bezpečnosti portálu FIA pro kategorizaci jezdců nakrátko dostali k osobním údajům stovek závodních jezdců, včetně čtyřnásobného mistra světa Maxe Verstappena. Narušení jim umožnilo nahlédnout do citlivých údajů, jako jsou pasy, řidičské průkazy a osobní kontaktní údaje.

Uživatel X Nagli, který si říká "hacker" a "vedoucí oddělení odhalování hrozeb ve společnosti @wiz_io", na X prozradil, že spolu se Samem Currym a Ianem Carrollem testovali to, co popsali jako "zabezpečení celého ekosystému"." Na portálu vytvořili stránku s ovladači a rozhodli se otestovat teorii, zda se mohou stát administrátorem systému. "Trvalo nám to 10 minut s použitím jedné jednoduché bezpečnostní chyby," napsal Nagli na X. "Zkoumali jsme bezpečnost celého ekosystému. Tak jsme narazili na závažnou zranitelnost v kritickém portálu spravovaném FIA, která byla nahlášena a opravena za méně než 24 hodin."

Jakmile se stali administrátory, Nagli a jeho kolegové získali přístup k osobním údajům všech jezdců v systému. "Našli jsme způsob, jak získat přístup k pasu, řidičskému průkazu a osobním údajům Maxe Verstappena spolu s citlivými údaji všech ostatních jezdců Formule 1," uvedl. Zdůraznil však, že žádné pasy ani citlivé informace nestahovali ani neukládali: "Všechna data z testů byla vymazána. Žádné informace o jezdcích jsme nezneužili," dodal. O těchto komentářích informoval server PlanetF1.

Trojice spolupracovala s FIA na vyřešení problému a závadu okamžitě nahlásila. "Spolupracovali jsme s FIA na okamžité nápravě problému. Poklona jejich týmu za rychlou reakci a za to, že věc vzali vážně," řekl Nagli.

Mluvčí FIA k záležitosti sdělil serveru PlanetF1: "Byly podniknuty okamžité kroky k zabezpečení dat jezdců a FIA tento problém nahlásila příslušným orgánům pro ochranu osobních údajů v souladu s povinnostmi FIA. Rovněž informovala malý počet jezdců, kterých se tento problém týkal. Žádné jiné digitální platformy FIA nebyly tímto incidentem ovlivněny."

Příčina narušení byla vysvětlena jako chyba nazvaná "hromadné přiřazení", kdy systém důvěřoval žádosti stát se administrátorem, aniž by zkontroloval, zda má účet oprávnění. FIA dodala, že rozsáhle investovala do kybernetické bezpečnosti a opatření pro zvýšení odolnosti napříč svým digitálním majetkem a ve všech nových digitálních iniciativách uplatňuje politiku "security-by-design".

Není to poprvé, co FIA čelí hackerskému útoku. V loňském roce umožnily phishingové útoky neoprávněný přístup k osobním údajům ve dvou e-mailových účtech FIA. FIA tehdy pro TechRadar uvedla, že podnikla veškeré kroky k zastavení přístupu a informovala příslušné francouzské a švýcarské úřady pro ochranu osobních údajů.