Hackers accedieron a la base de datos de pilotos de F1 como Verstappen

El verano pasado, el portal de licencias de la FIA fue pirateado por un grupo de tres hackers éticos: Gal Nagli, Sam Curry e Ian Carroll. El trío ya llevó a cabo el pirateo el verano pasado, pero no lo hizo público hasta esta semana en las redes sociales. Los propios hackers revelan que son grandes aficionados a la Fórmula 1 y que no tenían intenciones maliciosas. En su lugar, querían sacar a la luz los puntos débiles de los sistemas de la FIA y hacer más fuerte "todo el ecosistema".

El problema es el portal de licencias de la FIA. Todos los pilotos de Fórmula 1 deben tener una superlicencia para competir en la categoría reina, pero para otras categorías de carreras se aplica mayoritariamente la categorización de la FIA de pilotos de oro, plata o bronce. Esta categorización se gestiona en un portal específico de la FIA, en el que los propios pilotos también pueden solicitar que se les rebaje su categoría de oro a plata, por ejemplo, lo que puede resultar especialmente útil en las carreras de resistencia, en las que a veces los equipos deben alinear a un piloto de plata.

Cambio de rol a administrador, acceso a datos

Los hackers en cuestión crearon un perfil y luego descubrieron en Javascript que era posible ajustar su "rol". El sitio web parecía tener varios roles: pilotos, empleados de la FIA y administradores. Lógicamente, este último era el más interesante, por lo que los hackers intentaron cambiar su perfil a admin mediante una "petición HTTP PUT". Parecía que funcionaba y después de iniciar sesión de nuevo, el portal tenía un aspecto completamente diferente. Tuvieron acceso a un panel en el que la FIA puede clasificar a todos los pilotos.

Para validar su hallazgo, los piratas informáticos intentaron acceder al perfil de un piloto. Comprobaron que podían ver el hash de la contraseña, la dirección de correo electrónico, el número de teléfono y el pasaporte, entre otros datos. Además, también pudieron leer toda la comunicación interna entre la FIA y el piloto en cuestión sobre la categorización. Después, los hackers vieron que todos los pilotos de Fórmula 1 también estaban en el sistema y fue posible ver el pasaporte de Max Verstappen, entre otras cosas. Los hackers subrayan que se detuvieron después de eso y que no acabaron viendo ninguna información sensible.

La FIA intervino inmediatamente

Después de este "exitoso" hackeo el 3 de junio, la FIA fue notificada el mismo día y -en cooperación entre los hackers y la federación- se tomaron medidas. En un principio, el sitio se desconectó inmediatamente y el 10 de junio, la FIA informó de que el "arreglo" se había completado en su totalidad.

Al ser preguntado por Motorsport.com en México, un portavoz de la FIA confirmó este curso de acción y compartió en un comunicado: "La FIA tuvo conocimiento de un incidente cibernético con el sitio web de Categorización de Pilotos de la FIA este verano. Se tomaron medidas inmediatas para proteger los datos de los pilotos. La FIA informó de este incidente a las autoridades pertinentes de protección de datos, de acuerdo con sus obligaciones. La FIA también ha notificado al pequeño número de pilotos afectados por este incidente. Ninguna otra plataforma digital de la FIA se ha visto afectada por este incidente", rezaba el comunicado.

"La FIA ha invertido ampliamente en ciberseguridad y medidas para todas sus plataformas digitales. La FIA ha puesto en marcha medidas de seguridad del más alto nivel para proteger los datos de todas las partes interesadas. Estamos aplicando una política de "seguridad por diseño" para todas nuestras nuevas iniciativas digitales."