Sicherheitslücke bei der FIA

Bug ermöglicht Zugriff auf Formel-1-Fahrerdaten

Verstappen
Bildquelle: QIAN JUN / Shutterstock.com
LinkedInRedditWhatsApp

Eine Sicherheitslücke in den IT-Systemen der FIA ermöglichte es drei Experten, auf vertrauliche Informationen zuzugreifen. Betroffen sind auch persönliche Daten von Max Verstappen und weiteren Formel-1-Fahrern.

Die Sicherheitslücke ist inzwischen geschlossen, der Vorfall zeigt jedoch die Risiken digitaler Verwaltungsplattformen im Motorsport.

Anzeige

FIA Super License und Driver Categorization

Für die Teilnahme an Formel-1-Rennen benötigen Fahrer eine sogenannte FIA Super License. Darüber hinaus müssen viele F1-Fahrer auch an anderen Rennen teilnehmen, für die die FIA ein separates Portal namens Driver Categorization betreibt.

Dieses Portal erfordert die Erstellung eines Nutzerkontos und das Hochladen zahlreicher Dokumente, darunter Reisepässe, Führerscheine und Rennergebnisse. Damit werden sensible personenbezogene Daten wie Kontaktinformationen, Qualifikationen und frühere Rennleistungen gesammelt und verwaltet.

Wie die Sicherheitslücke entdeckt wurde

Die Forscher Gal Nagli, Sam Curry und Ian Carroll untersuchten das Portal und stießen dabei auf eine Schwachstelle in der HTTP-Kommunikation. Ein einfacher HTTP PUT-Befehl zur Profilaktualisierung erlaubte es ihnen, über eine Rollenfunktion auf Administratorrechte zuzugreifen.

Anzeige

Damit konnten sie auf umfangreiche Daten von Fahrern zugreifen, darunter Passinformationen, E-Mail-Adressen, Telefonnummern, Lebensläufe und Passwort-Hashes. Außerdem war es möglich, interne Kommunikation rund um das Driver Categorization-System einzusehen, einschließlich Bewertungen der Fahrer und Entscheidungen von Ausschüssen. Als die Forscher bemerkten, dass sie auf Max Verstappens Daten zugreifen konnten, stellten sie ihre Tests sofort ein.

Die FIA wurde am 3. Juni über den Vorfall informiert und nahm die Website noch am selben Tag offline. Drei Tage später wurde ein umfassender Fix implementiert. Ein Sprecher der FIA betonte, dass sofortige Schritte unternommen wurden, um die Daten der Fahrer zu schützen. Zudem wurden die zuständigen Datenschutzbehörden informiert und die betroffenen Fahrer benachrichtigt. Andere digitale Plattformen der FIA waren nicht betroffen.

Der Vorfall verdeutlicht die Bedeutung von Sicherheitstests und kontinuierlicher Überprüfung von Verwaltungsportalen, besonders wenn sie hochsensible personenbezogene Daten enthalten. Auch im Profi-Sport sind Organisationen auf robuste IT-Sicherheitsmaßnahmen angewiesen, um Datenlecks zu vermeiden.


Pauline Dornig

Pauline

Dornig

Online-Redakteurin

IT Verlag GmbH

Pauline Dornig verstärkt seit Mai 2020 das Team des IT Verlags als Online-Redakteurin. (pd)
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.