- Investigadores de seguridad descubrieron recientemente un error grave en el sitio web de la FIA
- La falla les dio a sus conductores acceso a información de identificación personal.
- Hasta el momento no hay indicios de que los delincuentes hayan accedido a los datos.
La Fórmula 1 ha gastado millones de dólares en seguridad cibernética, pero eso no ha protegido a los conductores de Sprotts de que su información personal se vea comprometida.
De hecho, los investigadores de seguridad Ian Carroll, Gale Nagley y Sam Curry afirman que lograron piratear el sitio web del organismo rector del deporte FIA, obteniendo acceso al pasaporte, licencia e información de identificación personal de cada uno de los conductores.
Afortunadamente, no hay evidencia de que los actores de amenazas hayan accedido a esta vulnerabilidad de la FIA, y desde entonces la falla ha sido reparada, pero sirve como una fuerte advertencia para los sitios web de terceros que podrían pensar que no pueden ser atacados.
¿Cómo lo hacen?
El acuerdo se realiza a través del sitio web de Clasificación de Pilotos de la FIA, donde los conductores pueden solicitar su Súper Licencia FIA, que los conductores deben renovar cada año si desean continuar en el deporte.
Como el portal es público y cualquiera puede presentar su solicitud, los investigadores pudieron crear su propia cuenta de licencia FIA, actualizar sus datos y editar su propia información. Pero notaron que cuando actualizaron su perfil, el servidor les envió más información de la que ingresaron.
Por ejemplo, si editan su nombre y correo electrónico, el servidor les devolverá su nombre, correo electrónico, fecha de nacimiento y, lo más importante, su “rol”. Los ‘roles’ se refieren a privilegios de acceso: conductor, personal de la FIA o administrador.
Entonces, en lo que parece ser una falla API de “asignación masiva” sorprendentemente simple, los investigadores simplemente cambiaron su acceso a “admin” y obtuvieron acceso.
Los privilegios de administrador, como se puede imaginar, les daban acceso a cualquier cosa. Esto incluía todas las aplicaciones de los pilotos de F1, incluidos los documentos cargados, como pasaportes e información de contacto personal; incluso podían ver las comunicaciones internas de la FIA sobre las decisiones de concesión de licencias.
“La FIA tuvo conocimiento de un incidente cibernético relacionado con el sitio web de clasificación de pilotos de la FIA en el verano”, dijo un portavoz. TechRadar Pro.
“Se tomaron medidas inmediatas para proteger los datos de los conductores y la FIA informó del problema a las autoridades de protección de datos correspondientes de acuerdo con las obligaciones de la FIA. También notificó al pequeño número de conductores afectados por el problema. Ninguna otra plataforma digital de la FIA se vio afectada por este incidente”.
“La FIA ha invertido mucho en seguridad cibernética y medidas de resiliencia en todo su patrimonio digital. Ha implementado sistemas de protección de datos de clase mundial para proteger a todas sus partes interesadas y ha aplicado principios de seguridad por diseño a todas las nuevas iniciativas digitales”.
En la Fórmula 1, la seguridad de los datos es una alta prioridad. La mayoría de los equipos incluso tienen asociaciones oficiales de ciberseguridad, como Williams y Kipper Security, Bitdefender y Ferrari, y 1Password y Red Bull, que simplemente describen que nadie está a salvo con enlaces débiles en su proveedor, asociación o, en este caso, el sitio web de su organismo rector.
La mejor protección contra robo de identidad para todos los presupuestos
