Neuigkeiten zu allen Themen

Der Sicherheitsforscher Ian Carroll stieß zusammen mit zwei Kollegen auf eine Schwachstelle, die ihnen Zugang zu einer Fundgrube sensibler Informationen gewährte, einschließlich persönlicher Daten des vierfachen Weltmeisters Max Verstappen.

Das Trio hatte keine böswillige Absicht und informierte die FIA bereits im Juni über ihren Verstoß. Carroll teilte diese Ergebnisse auch in einem detaillierten Blogbeitrag, der am Mittwoch veröffentlicht wurde und enthüllte, wie eng sensible Fahrerinformationen in die falschen Hände geraten sein könnten.

Laut Carroll sind die Forscher auf den Fehler auf der Fahrer-Kategorisierungs-Website der FIA gestoßen - einer Plattform, die Profile für fast 7000 lizenzierte Fahrer speichert. Was als einfacher Test mit einem gewöhnlichen Benutzerkonto begann, spitzte sich schnell zu etwas viel Ernsterem.

"Wir schienen vollen Admin-Zugriff auf die FIA-Fahrer-Kategorisierungs-Website zu haben", bemerkten sie.

Mit diesen Privilegien konnten die Forscher persönliche Dokumente, Pässe und andere geheime Materialien einsehen. Aber als sie das gesamte Ausmaß erkannten, hörten sie sofort auf.

"Wir haben die Versuche eingestellt, nachdem wir gesehen haben, daß es möglich war, auf Max Verstappens Pass, Lebenslauf, Lizenz, Passwort-Hash und personenbezogene Daten zuzugreifen", schrieb Carroll.

"Diese Daten konnten für alle F1-Fahrer mit einer Kategorisierung sowie für sensible Informationen über interne FIA-Operationen abgerufen werden. Wir haben nicht auf Pässe oder sensible Informationen zugegriffen und alle Daten unsererseits wurden nachdem sie heruntergeladen wurden gelöscht."

Carroll und sein Team kontaktierten anschließend die FIA, um den Sicherheitslücken zu skizzieren und dabei zu helfen, das System zu sichern, bevor ein Schaden angerichtet werden konnte.

Als Reaktion darauf bestätigte die FIA den Vorfall und lobte die Forscher für das Vorgehen. Der Dachverband nahm die Fahrer-Kategorisierungs-Website am 3. Juni offline und führte eine Woche später eine "umfassende Lösung" durch.

"Die FIA wurde im Sommer auf einen Cyber-Vorfall aufmerksam, an dem die Website der FIA-Fahrer-Kategorisierung beteiligt war", hieß es in einer Erklärung auf der F1-Website RaceFans.

"Es wurden unverzüglich Maßnahmen ergriffen, um die Daten der Fahrer zu sichern, und die FIA meldete dieses Problem den zuständigen Datenschutzbehörden im Einklang mit den Verpflichtungen der FIA.

"Es hat auch die kleine Anzahl der Fahrer, die von diesem Problem betroffen sind, informiert. Keine anderen digitalen Plattformen der FIA waren bei diesem Vorfall betroffen."