Motorsport Formel 1
Cyber-Schock für FIA: Hacker entdecken Zugang zu Verstappens Passdaten
Die FIA hat bestätigt, dass Hacker kurzzeitig Zugriff auf Daten im Fahrer-Lizenzportal der Organisation hatten - darunter auch auf den Reisepass von Max Verstappen. Die Sicherheitslücke wurde inzwischen in Zusammenarbeit mit den Hackern geschlossen.
Der Vorfall ereignete sich im Sommer, als drei Hacker - Gal Nagli, Sam Curry und Ian Carroll - in das "Driver Categorisation Portal" der FIA eindrangen. Zwar fand der erfolgreiche Zugriff bereits vor einigen Monaten statt, doch die Hacker machten ihre Entdeckung erst diese Woche über soziale Medien öffentlich.
Die Gruppe - allesamt Formel-1-Fans - betonte, dass sie keinerlei böswillige Absichten gehabt habe. Ihr Ziel sei es gewesen, Schwachstellen in der IT-Infrastruktur der FIA aufzudecken, um das "gesamte Ökosystem sicherer" zu machen.
Zugriff auf Fahrerklassifizierungs-System
Der betroffene Bereich war das System, mit dem die FIA Fahrerklassifizierungen verwaltet. Während Formel-1-Fahrer eine Superlizenz benötigen, ist für andere Rennserien - insbesondere im Langstreckensport - die Einstufung in Gold, Silber oder Bronze entscheidend.
Über das Portal verwaltet die FIA diese Einstufungen; Fahrer können dort auch Anträge auf eine Statusänderung stellen - etwa von Gold auf Silber, was in Serien mit verpflichtenden Silber-Fahrern von Vorteil sein kann.
Erhöhte Admin-Rechte ermöglichten Datenzugriff
Die Hacker legten zunächst ein Profil im FIA-Portal an und stellten mithilfe von Javascript fest, dass sie ihre Benutzerrolle verändern konnten. Das System unterschied zwischen Fahrern, FIA-Mitarbeitern und Administratoren - letztere mit den höchsten Rechten.
Durch eine spezielle Anfrage gelang es ihnen erfolgreich, ihre Zugriffsrechte auf Admin-Niveau zu erhöhen. Nach erneutem Einloggen öffnete sich für sie eine völlig andere Benutzeroberfläche, einschließlich des internen FIA-Dashboards zur Fahrerklassifizierung.
Um den Zugriff zu überprüfen, luden sie testweise ein einzelnes Fahrerprofil. Dabei wurden ihnen Passwort, E-Mail-Adresse, Telefonnummer, Reisepassdaten sowie interne Kommunikation zwischen der FIA und dem Fahrer angezeigt.
Im System waren auch sämtliche Formel-1-Fahrer gelistet. Die Hacker bemerkten dabei, dass Max Verstappens Reisepassdaten prinzipiell abrufbar gewesen wären. Sie betonten jedoch ausdrücklich, dass sie an dieser Stelle ihre Tests beendeten und keine sensiblen Informationen einsahen oder speicherten.
FIA reagierte umgehend
Nachdem sie die Schwachstelle am 3. Juni entdeckt hatten, setzten die Hacker die FIA umgehend in Kenntnis. Der Verband nahm die Seite noch am selben Tag offline und arbeitete gemeinsam mit der Gruppe an einer nachhaltigen Lösung. Am 10. Juni bestätigte die FIA, dass der Fehler behoben sei.
Ein FIA-Sprecher erklärte in Mexiko gegenüber Motorsport.com: "Die FIA wurde im Sommer auf einen Cybervorfall im Zusammenhang mit der Website zur Fahrerklassifizierung aufmerksam. Unverzüglich wurden Maßnahmen ergriffen, um die Daten der Fahrer zu sichern."
"Die FIA hat den Vorfall gemäß ihren Verpflichtungen den zuständigen Datenschutzbehörden gemeldet und die wenigen betroffenen Fahrer informiert. Andere digitale Plattformen der FIA waren nicht betroffen."
Weiter hieß es: "Die FIA hat erheblich in Cybersecurity und Resilienzmaßnahmen investiert. Sie verfügt über modernste Datensicherheitsvorkehrungen, um alle Beteiligten zu schützen, und verfolgt bei neuen digitalen Projekten eine konsequente Security-by-Design-Strategie."
Der Fall unterstreicht, wie wichtig IT-Sicherheitsmaßnahmen auch für große Sportverbände wie die FIA geworden sind.