Attacco hacker al portale licenze FIA: breve accesso ai dati sensibili dei piloti di F1

La scorsa estate, il portale delle licenze della FIA è stato violato da un gruppo di tre hacker etici: Gal Nagli, Sam Curry e Ian Carroll. Il trio aveva già effettuato l'hackeraggio diversi mesi fa, ma lo ha reso pubblico sui social media solo questa settimana. Gli stessi hacker hanno rivelato di essere grandi fan della Formula 1 e di non avere intenzioni malevole. Volevano invece esporre le debolezze dei sistemi della FIA e rendere più forte "l'intero ecosistema".

Il problema è il portale delle licenze della FIA. Tutti i piloti di Formula 1 devono essere in possesso di una superlicenza per gareggiare in Formula 1, ma per le altre categorie si applica per lo più la categorizzazione FIA dei piloti gold, silver o bronze. Questa categorizzazione è gestita in un portale FIA dedicato, dove i piloti stessi possono anche presentare richieste di declassamento del loro status, ad esempio da gold a silver, il che può essere particolarmente utile nelle gare di durata, dove le squadre sono talvolta obbligate a schierare un pilota silver.

L'accesso ai dati era troppo semplice

Gli hacker in questione hanno creato un profilo e poi hanno scoperto in Javascript che era possibile modificare il loro "ruolo". Il sito web sembrava avere diversi ruoli: piloti, dipendenti FIA ed amministratori. Quest'ultimo era logicamente il più interessante e quindi gli hacker hanno cercato di cambiare il loro profilo in amministratore tramite una cosiddetta "richiesta HTTP PUT". Lo stratagemma ha funzionato e, dopo aver effettuato nuovamente il login, il portale appariva completamente diverso. Hanno avuto accesso ad un dashboard in cui la FIA può classificare tutti i piloti.

Per convalidare la loro scoperta, gli hacker hanno tentato di accedere al profilo di un pilota. Hanno scoperto che l'hash della password, l'indirizzo e-mail, il numero di telefono e il passaporto, tra le altre cose, erano visibili. Inoltre, hanno potuto leggere tutte le comunicazioni interne tra la FIA e il pilota in questione in merito alla categorizzazione. In seguito, gli hacker hanno visto che anche tutti i piloti di Formula 1 erano presenti nel sistema e che era possibile vedere il passaporto di Max Verstappen, per esempio. Gli hacker sottolineano di essersi poi fermati e di non aver visualizzato alcuna informazione sensibile.

La FIA è intervenuta immediatamente

Dopo questo hackeraggio "riuscito" il 3 giugno, la FIA è stata informata lo stesso giorno e - in collaborazione tra gli hacker e la federazione - sono state prese delle misure di sicurezza. Il sito è stato inizialmente messo offline immediatamente e il 10 giugno la FIA ha informato che la "correzione" era stata completata.

Interpellato da Motorsport.com in Messico, un portavoce della FIA ha confermato questa linea d'azione e ha dichiarato: "La FIA è venuta a conoscenza di un incidente informatico che ha interessato il sito web della FIA per la categorizzazione dei piloti quest'estate. Sono state prese misure immediate per proteggere i dati dei piloti. La FIA ha segnalato l'incidente alle autorità competenti per la protezione dei dati, in linea con i suoi obblighi. La FIA ha anche informato il piccolo numero di piloti interessati da questo incidente. Nessun'altra piattaforma digitale della FIA è stata interessata da questo incidente", si legge nel comunicato.

"La FIA ha investito molto nella sicurezza informatica e nelle misure per tutte le sue piattaforme digitali. La FIA ha messo in atto misure di sicurezza di altissimo livello per proteggere i dati di tutte le parti interessate. Stiamo applicando una politica di 'security-by-design' per tutte le nostre nuove iniziative digitali".