Hackers hadden kortstondig toegang tot FIA-gegevens van Max Verstappen

Afgelopen zomer is het licentieportaal van de FIA gehackt door een groep van drie ethische hackers: Gal Nagli, Sam Curry en Ian Carroll. Het trio heeft het hackwerk afgelopen zomer al uitgevoerd, maar is er pas deze week mee naar buiten getreden op sociale media. De hackers laten zelf weten grote Formule 1-fans te zijn en geen kwade bedoelingen te hebben gehad. In plaats daarvan wilden ze juist zwakke plekken in de FIA-systemen blootleggen en het 'hele ecosysteem' sterker maken.

Het gaat in dit geval om het licentieportaal van de FIA. Alle Formule 1-coureurs moeten over een superlicentie beschikken om in de koningsklasse uit te mogen komen, maar voor andere raceklassen geldt veelal de FIA-inschaling van gouden, zilveren of bronzen coureurs. Deze categorisatie wordt gemanaged in een speciaal FIA-portaal, waarin coureurs zelf ook verzoeken kunnen indienen om hun status te laten terugschroeven van bijvoorbeeld goud naar zilver - wat met name in enduranceraces kan helpen, waarin teams soms verplicht een zilveren rijder moeten opstellen.

Rol aangepast naar admin, toegang tot gegevens

De hackers in kwestie hebben een profiel aangemaakt en vonden vervolgens in Javascript dat het mogelijk zou zijn om hun 'rol' aan te passen. De website bleek verschillende rollen te hebben: coureurs, FIA-medewerkers en admins. Die laatste was logischerwijs het meest interessant en dus probeerden de hackers via een zogenaamd 'HTTP PUT request' hun profiel te veranderen in admin. Het bleek te werken en na opnieuw inloggen zag het portaal er compleet anders uit. Ze hadden toegang tot een dashboard waarin de FIA alle coureurs kan categoriseren.

Om hun bevinding te valideren, hebben de hackers gepoogd het profiel van één coureur te openen. Ze vonden dat onder meer de wachtwoord-hash, het e-mailadres, telefoonnummer en paspoort inzichtelijk was. Verder konden ze ook alle interne communicatie tussen de FIA en de desbetreffende coureur over de categorisatie lezen. Nadien zagen de hackers dat alle Formule 1-coureurs eveneens in het systeem stonden en dat het mogelijk was om onder meer het paspoort van Max Verstappen in te zien. De hackers benadrukken dat ze daarna zijn gestopt en uiteindelijk geen gevoelige informatie hebben bekeken.

FIA heeft onmiddellijk ingegrepen

Na deze 'geslaagde' hack op 3 juni is de FIA dezelfde dag nog op de hoogte gebracht en zijn er - in samenwerking tussen de hackers en de federatie - maatregelen genomen. De site werd in eerste instantie direct offline gehaald en op 10 juni heeft de FIA laten weten dat de 'fix' volledig klaar was.

Bij navraag door Motorsport.com in Mexico bevestigt een FIA-woordvoerder deze gang van zaken en deelt hij in een statement: "De FIA werd zich deze zomer bewust van een cyberincident met de FIA Driver Categorisation-website. Er zijn onmiddellijk maatregelen genomen om de gegevens van de coureurs te beveiligen. De FIA heeft dit incident gemeld aan de bevoegde gegevensbeschermingsautoriteiten, wat in lijn is met de verplichtingen van de FIA. Ook heeft de FIA het kleine aantal coureurs dat door dit incident is getroffen, op de hoogte gebracht. Geen enkel ander digitaal platform van de FIA is door dit incident getroffen", zo valt in de verklaring te lezen.

“De FIA heeft uitgebreid geïnvesteerd in cyberbeveiliging en maatregelen voor al haar digitale platformen. De FIA heeft beveiligingsmaatregelen van de hoogste orde getroffen om de gegevens van alle belanghebbenden te beschermen. We passen een beleid van ‘security-by-design’ toe voor al onze nieuwe digitale initiatieven."