Au début de l'été, des pirates informatiques ont brièvement eu accès aux informations personnelles de centaines de pilotes de course, dont le quadruple champion du monde de Formule 1 Max Verstappen, à la suite d'une faille de sécurité dans le portail de catégorisation des pilotes de la FIA. Cette faille leur a permis de voir des données sensibles telles que des passeports, des permis de conduire et des coordonnées personnelles.

L'utilisateur X Nagli, qui se présente comme "Hacker" et "Head of Threat Exposure at @wiz_io", a révélé sur X qu'il testait, avec Sam Curry et Ian Carroll, ce qu'ils décrivent comme "la sécurité de l'ensemble de l'écosystème"."Ils ont créé une page pilote sur le portail et ont décidé de tester une théorie pour voir s'ils pouvaient devenir administrateur du système. "Cela nous a pris 10 minutes en utilisant une simple faille de sécurité", a écrit Nagli sur X. "Nous examinions la sécurité de l'ensemble de l'écosystème. C'est ainsi que nous sommes tombés sur une grave vulnérabilité dans un portail critique géré par la FIA, qui a été signalée et corrigée en moins de 24 heures."

Une fois devenus administrateurs, Nagli et ses collègues ont pu accéder aux données personnelles de chaque pilote dans le système : "Nous avons trouvé un moyen d'accéder au passeport, au permis de conduire et aux informations personnelles de Max Verstappen, ainsi qu'aux données sensibles de tous les autres pilotes de Formule 1", a-t-il déclaré. Cependant, il a souligné qu'ils n'ont pas téléchargé ou sauvegardé de passeports ou d'informations sensibles : "Toutes les données de test ont été supprimées. Nous n'avons compromis aucune information sur les pilotes", a-t-il ajouté. Ces propos ont été rapportés par PlanetF1.

Le trio a travaillé avec la FIA pour résoudre le problème et a immédiatement signalé la faille : "Nous avons travaillé avec la FIA pour résoudre rapidement le problème. Bravo à leur équipe pour leur réponse rapide et pour avoir pris le problème au sérieux", a déclaré Nagli.

Un porte-parole de la FIA a déclaré à PlanetF1: "Des mesures immédiates ont été prises pour sécuriser les données des pilotes, et la FIA a signalé ce problème aux autorités compétentes en matière de protection des données, conformément à ses obligations. Elle a également informé le petit nombre de pilotes concernés par ce problème. Aucune autre plateforme numérique de la FIA n'a été touchée par cet incident".

La cause de la violation a été expliquée comme étant un bug appelé "affectation de masse", où le système a fait confiance à une demande pour devenir un administrateur sans vérifier si le compte en avait la permission. La FIA a ajouté qu'elle avait beaucoup investi dans des mesures de cybersécurité et de résilience pour l'ensemble de son patrimoine numérique et qu'elle mettait en œuvre une politique de sécurité dès la conception pour toutes les nouvelles initiatives numériques.

Ce n'est pas la première fois que la FIA est confrontée à un piratage. L'année dernière, des attaques par hameçonnage ont permis un accès non autorisé à des données personnelles dans deux comptes de courrier électronique de la FIA. À l'époque, la FIA avait déclaré à TechRadar qu'elle avait pris toutes les mesures nécessaires pour empêcher l'accès à ces données et qu'elle avait informé les autorités françaises et suisses compétentes en matière de protection des données.