Eerder deze zomer kregen hackers kortstondig toegang tot de persoonlijke gegevens van honderden autocoureurs, waaronder viervoudig wereldkampioen Formule 1 Max Verstappen, na een beveiligingslek in het categorisatieportaal van de FIA. Door het lek konden ze gevoelige gegevens inzien, zoals paspoorten, rijbewijzen en persoonlijke contactgegevens.

X-gebruiker Nagli, die zichzelf "Hacker" en "Head of Threat Exposure at @wiz_io" noemt, onthulde op X dat hij samen met Sam Curry en Ian Carroll bezig was met het testen van wat zij omschreven als "de beveiliging van het hele ecosysteem."Ze maakten een bestuurderspagina aan op het portaal en besloten een theorie te testen om te zien of ze een beheerder voor het systeem konden worden. "Het kostte ons 10 minuten om een eenvoudige beveiligingsfout te gebruiken", schreef Nagli op X. "We keken naar de beveiliging van het hele ecosysteem. Zo stuitten we op een ernstige kwetsbaarheid in een kritisch portaal dat wordt beheerd door de FIA, die in minder dan 24 uur werd gemeld en verholpen."

Toen ze eenmaal admins werden, kregen Nagli en zijn collega's toegang tot de persoonlijke gegevens van elke coureur in het systeem. "We vonden een manier om toegang te krijgen tot het paspoort, het rijbewijs en persoonlijke informatie van Max Verstappen, samen met de gevoelige gegevens van elke andere Formule 1-coureur," zei hij. Hij benadrukte echter dat ze geen paspoorten of gevoelige informatie hebben gedownload of opgeslagen: "Alle testgegevens zijn verwijderd. Wij hebben geen informatie over coureurs achtergehouden", voegde hij eraan toe. Deze opmerkingen werden gemeld door PlanetF1.

Het trio werkte samen met de FIA om het probleem op te lossen en meldde de fout onmiddellijk: "We werkten samen met de FIA om het probleem onmiddellijk op te lossen. Shoutout naar hun team voor de snelle reactie en het serieus nemen van de zaak," zei Nagli.

Een woordvoerder van de FIA vertelde PlanetF1 over de kwestie: "Er zijn onmiddellijk stappen ondernomen om de gegevens van de coureurs te beveiligen en de FIA heeft dit probleem gemeld bij de toepasselijke gegevensbeschermingsautoriteiten in overeenstemming met de verplichtingen van de FIA. De FIA heeft ook het kleine aantal coureurs dat door dit probleem werd getroffen op de hoogte gebracht. Dit incident heeft geen gevolgen gehad voor andere digitale platforms van de FIA."

De oorzaak van de inbreuk werd uitgelegd als een bug genaamd "massatoewijzing", waarbij het systeem een verzoek om admin te worden vertrouwde zonder te controleren of het account toestemming had. De FIA voegde eraan toe dat het uitgebreid heeft geïnvesteerd in cyberbeveiliging en veerkrachtmaatregelen in haar digitale nalatenschap en een beleid van security-by-design implementeert in alle nieuwe digitale initiatieven.

Dit is niet de eerste keer dat de FIA te maken heeft met een hack. Vorig jaar kregen onbevoegden door phishingaanvallen toegang tot persoonlijke gegevens in twee e-mailaccounts van de FIA. Destijds vertelde de FIA aan TechRadar dat het alle maatregelen had genomen om de toegang te stoppen en de relevante Franse en Zwitserse gegevensbeschermingsautoriteiten op de hoogte had gesteld.