Im Sommer dieses Jahres hatten Hacker nach einer Sicherheitslücke im Fahrerkategorisierungsportal der FIA kurzzeitig Zugang zu den persönlichen Daten von Hunderten von Rennfahrern, darunter der vierfache Formel-1-Weltmeister Max Verstappen. Durch die Sicherheitslücke konnten sie sensible Daten wie Reisepässe, Führerscheine und persönliche Kontaktinformationen einsehen.

X-Nutzer Nagli, der sich selbst als "Hacker" und "Head of Threat Exposure at @wiz_io" bezeichnet, enthüllte auf X, dass er zusammen mit Sam Curry und Ian Carroll "die Sicherheit des gesamten Ökosystems" testete."Sie erstellten eine Treiberseite auf dem Portal und beschlossen, eine Theorie zu testen, um zu sehen, ob sie ein Administrator für das System werden könnten. "Wir haben 10 Minuten gebraucht, um eine einfache Sicherheitslücke zu nutzen", schrieb Nagli auf X. "Wir haben die Sicherheit des gesamten Ökosystems untersucht. So stießen wir auf eine schwerwiegende Sicherheitslücke in einem wichtigen, von der FIA verwalteten Portal, die in weniger als 24 Stunden gemeldet und behoben wurde."

Sobald sie Administratoren waren, konnten Nagli und seine Kollegen auf die persönlichen Daten jedes Fahrers im System zugreifen: "Wir fanden einen Weg, um auf den Pass, den Führerschein und die persönlichen Informationen von Max Verstappen sowie auf die sensiblen Daten aller anderen Formel-1-Fahrer zuzugreifen", sagte er. Er betonte jedoch, dass sie weder Pässe noch sensible Daten heruntergeladen oder gespeichert haben: "Alle Testdaten wurden gelöscht. Keine Fahrerinformationen wurden von uns kompromittiert", fügte er hinzu. Diese Kommentare wurden von PlanetF1 berichtet .

Das Trio arbeitete mit der FIA zusammen, um das Problem zu lösen, und meldete den Fehler sofort: "Wir haben mit der FIA zusammengearbeitet, um das Problem umgehend zu beheben. Ein großes Lob an ihr Team für die schnelle Reaktion und das Ernstnehmen der Angelegenheit", sagte Nagli.

Ein FIA-Sprecher erklärte gegenüber PlanetF1: "Es wurden sofort Maßnahmen ergriffen, um die Daten der Fahrer zu schützen, und die FIA hat dieses Problem gemäß ihren Verpflichtungen den zuständigen Datenschutzbehörden gemeldet. Sie hat auch die geringe Anzahl der betroffenen Fahrer benachrichtigt. Keine anderen digitalen Plattformen der FIA waren von diesem Vorfall betroffen.

Als Ursache für den Verstoß wurde ein Fehler namens "Massenzuweisung" angegeben, bei dem das System einer Anfrage, Administrator zu werden, vertraute, ohne zu prüfen, ob das Konto die entsprechende Berechtigung hatte. Die FIA fügte hinzu, dass sie umfassend in Cybersicherheits- und Ausfallsicherheitsmaßnahmen für ihren gesamten digitalen Bestand investiert hat und bei allen neuen digitalen Initiativen eine Politik der Sicherheit durch Design umsetzt.

Dies ist nicht das erste Mal, dass die FIA mit einem Hack konfrontiert wurde. Letztes Jahr wurde durch Phishing-Angriffe der unbefugte Zugriff auf persönliche Daten in zwei FIA-E-Mail-Konten ermöglicht. Damals erklärte die FIA gegenüber TechRadar, sie habe alle Maßnahmen ergriffen, um den Zugriff zu unterbinden, und die zuständigen französischen und schweizerischen Datenschutzbehörden informiert.