Fall, bei dem über einen FIA-Bug auf den Reisepass und persönliche Identifikationsdaten von Max Verstappen zugegriffen werden konnte

 (ian.sh)
1 Punkte von GN⁺ 2025-10-23 | 1 Kommentare | Auf WhatsApp teilen
  • Sicherheitsforscher entdeckten, dass sie über eine Schwachstelle in der Fahrer-Klassifizierungswebsite der FIA auf sensible Informationen von F1-Fahrern zugreifen konnten
  • Das System wird getrennt von der FIA Super Licence betrieben und ist ein Portal, über das Fahrer ihre Einstufung (Bronze/Silber/Gold/Platin) beantragen oder verlängern können
  • Die Forscher erlangten über eine Mass-Assignment-Schwachstelle in einer HTTP-PUT-Anfrage Administratorrechte und verschafften sich Zugang zum internen Dashboard
  • Dadurch konnten sie die Daten aller Fahrer einsehen, darunter PII wie Reisepässe, E-Mail-Adressen, Telefonnummern, Passwort-Hashes und Lebensläufe
  • Der Vorfall ist ein typisches Beispiel dafür, wie mit der Digitalisierung der Sportbranche auch die Bedeutung von Sicherheitsmanagement wächst

Hintergrund: Schnittstelle zwischen F1 und Cybersicherheit

  • In den letzten Jahren verlagern sich wichtige Networking-Events zunehmend rund um F1-Grand-Prix-Veranstaltungen, angetrieben durch wachsende Investitionen von Security-Startups und Venture-Capital-Fonds
    • CrowdStrike, Darktrace und andere investieren als Teamsponsoren Millionenbeträge
    • Bitdefender hat eine offizielle Cybersicherheits-Partnerschaft geschlossen und verantwortet die Sicherheit eines Rennteams
  • Die Forscher Gal Nagli, Sam Curry und Ian Carroll nahmen an solchen Veranstaltungen teil und versuchten, Sicherheitslücken in unterstützenden F1-bezogenen Websites zu finden
  • Dieser Blog ist der erste Teil einer dreiteiligen Serie und behandelt die erste entdeckte Schwachstelle in einem F1-bezogenen System

Überblick über das FIA-System zur Fahrerklassifizierung

  • F1-Fahrer müssen eine FIA Super Licence besitzen, die jährlich über die nationalen Motorsportverbände (ASN) ausgestellt wird
    • Dafür müssen bestimmte Punkte-, Alters-, medizinische und schriftliche Prüfungsanforderungen erfüllt werden
  • Zusätzlich betreibt die FIA das Driver Categorisation-System (drivercategorisation.fia.com), um die Einstufung der Fahrer (Bronze bis Platin) zu verwalten
    • Das Portal unterstützt öffentliche Selbstregistrierung, und Teilnehmer müssen ihren Einstufungsantrag sowie Ausweisdokumente und Karriere-Lebensläufe hochladen
    • Inhaber einer Super Licence erhalten automatisch die Einstufung Platin

Wie die Schwachstelle entdeckt wurde

  • Nach dem Erstellen eines Kontos beobachteten die Forscher eine HTTP-PUT-Anfrage beim Bearbeiten des Profils
    • Die Anfrage selbst war einfach, aber die JSON-Antwort enthielt zusätzliche Felder wie roles, birthDate und status
  • Durch die Analyse des JavaScript-Codes stellten sie fest, dass es auf der Website mehrere Rollen gibt, darunter Fahrer, FIA-Mitarbeiter und Administratoren (admin)
  • Um zu testen, ob sich das Feld roles ohne serverseitige Prüfung aktualisieren ließ, sendeten die Forscher eine PUT-Anfrage mit einer Administratorrolle

Erlangung von Administratorrechten

  • Das Beispiel für die Anfrage sah wie folgt aus
    • "roles": [{"id": 1, "description": "ADMIN role", "name": "ADMIN"}]
  • Der Server verarbeitete dies anstandslos und gab in der JSON-Antwort den zugewiesenen ADMIN-Status zurück
  • Nach erneuter Authentifizierung und Anmeldung wurde das FIA-Administrator-Dashboard angezeigt, wodurch Zugriff auf sämtliche serverseitigen Funktionen wie Fahrerklassifizierung, Mitarbeiterverwaltung und Bearbeitung von E-Mail-Vorlagen möglich wurde

Möglichkeit des Zugriffs auf sensible Informationen

  • Beim Einsehen von Fahrerprofilen mit Administratorrechten wurden unter anderem folgende Daten offengelegt
    • Passwort-Hashes, E-Mail-Adressen, Telefonnummern, Reisepasskopien, Lebensläufe und personenbezogene Identifikationsdaten (PII)
    • Interne Kommentare zur Fahrerbewertung sowie Protokolle von Ausschussentscheidungen
  • Die Forscher gaben an, während der Tests bestätigt zu haben, dass ein Zugriff auf Reisepass, Lizenz und PII von Max Verstappen möglich war, diese Daten jedoch nicht tatsächlich eingesehen oder gespeichert zu haben
  • Sämtliche Testdaten wurden sofort gelöscht, und weitere Eingriffe wurden eingestellt

Offenlegung der Schwachstelle und Reaktion

  • 3. Juni 2025: Erstmeldung an die FIA per E-Mail und LinkedIn
  • Noch am selben Tag nahm die FIA die Website offline
  • 10. Juni 2025: Die FIA teilte offiziell mit, dass die umfassende Behebung abgeschlossen sei
  • 22. Oktober 2025: Veröffentlichung des Blogbeitrags und öffentliche Offenlegung

Erkenntnisse

  • Der Fall zeigt, dass selbst in hochsensiblen Sicherheitssystemen eine einfache Mass-Assignment-Schwachstelle auftreten kann
  • Mit der fortschreitenden Digitalisierung der Sportbranche wächst die Notwendigkeit, Datenschutz und Zugriffskontrollen zu stärken
  • Gerade internationale Organisationen wie die FIA benötigen regelmäßige Sicherheitsprüfungen von API-Design und Logik zur Rechteprüfung

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-10-23
Hacker-News-Kommentare

  • Das ist nicht nur eine einzelne Schwachstelle, sondern eine Kombination mehrerer Sicherheitsfehler
    Zum Beispiel gibt es überhaupt keinen Grund, Bewerbungsunterlagen nach Erreichen des Zwecks weiter auf dem Produktivsystem zu speichern
    Das widerspricht auch dem Prinzip, den blast radius (Schadensradius) zu minimieren
    In so einem Fall sollte man eigentlich wenigstens lebenslang kostenlose Tickets bekommen

    • Regel 1: Vertraue niemals Benutzereingaben
      Sobald diese Regel gebrochen wird, ist es nur eine Frage der Zeit, bis auch alle anderen Regeln fallen

  • Ian, wenn du der Website einen RSS-Feed hinzufügst, würdest du wahrscheinlich mehr regelmäßige Abonnenten bekommen

    • Ian kann wirklich sehr gut schreiben
    • Ich stimme dem auch zu

  • Erstaunlich ist, dass die Seite noch am Tag der Meldung offline genommen wurde
    So eine Reaktionsgeschwindigkeit sieht man selten

    • Stimmt, der Fix kam auch ziemlich schnell
      Dass ein Unternehmen dieser Größe so schnell handelt, ist ungewöhnlich

  • Das ist wirklich ein peinlich miserables Sicherheitsniveau

    • Es ist fast schon unangenehm, das überhaupt Sicherheit zu nennen; es stand praktisch komplett offen
      Andererseits lindert so etwas mein Impostor-Syndrom ein wenig
    • Wenn du dir noch die Party-Videos ansiehst, wirst du noch überraschter sein

  • In so einer Situation hätte man den Autoren wenigstens eine F1-Superlizenz geben und sie selbst fahren lassen können

    • Wenn es doch nur dabei geblieben wäre

  • Ich frage mich, ob ihr bei solcher Sicherheitsforschung jemals rechtlich bedroht wurdet
    Und ob euch auch dort schon Belohnungen angeboten wurden, wo es gar kein Bug-Bounty-Programm gab

    • So etwas kann rechtlich riskant sein
      In der Branche gibt es viele Leute ohne Können und ohne Verantwortungsbewusstsein
      Für solche Leute ist eine Sicherheitsmeldung nur zusätzliche „lästige Arbeit“, daher haben sie einen Anreiz, aus Verantwortungsvermeidung den Melder zu beschuldigen oder rechtliche Schritte einzuleiten
      Deshalb ist es am sichersten, anonym zu agieren. Wenn man später möchte, kann man die eigene Identität immer noch offenlegen
    • Der Fall „Modern Solution“ in Deutschland ist ein bekanntes Beispiel
      Ein IT-Ingenieur entdeckte ein Passwort und meldete die mögliche Erreichbarkeit von phpMyAdmin, woraufhin das Unternehmen ihn verklagte, und das Unternehmen bekam schließlich bis vor dem höchsten Gericht Recht
      Zugehöriger Artikel (Heise)
    • Wie im Blog beschrieben, ist der Versuch einer Rechteausweitung auf Administratorniveau rechtlich eine Grauzone
      So etwas ist normalerweise nur im Rahmen formeller Red-Team-Tests oder unter einem Penetrationstest-Vertrag zulässig
      Im Nachhinein zu behaupten, es sei „ethisch“ gewesen, reicht nicht aus
    • Tatsächliche rechtliche Drohungen sind selten, aber manche Unternehmen bieten unter dem Titel „rückwirkende Bug Bounty“ faktisch Bestechung an
      Solche Angebote sollte man unbedingt ablehnen
    • Als ich während des Studiums eine Schwachstelle meldete, drohte ein Unternehmen zwar mit rechtlichen Schritten, nahm das aber zurück, nachdem mein Professor massiv protestiert hatte
      In den acht Jahren danach ist so etwas nicht mehr passiert
      Heute scheinen Unternehmen für solche Aktivitäten verständnisvoller zu sein als früher

  • Meine liebste Art zu hacken ist, JS zu lesen und PUT-Requests anzupassen
    Das funktioniert überraschend oft

  • Alte Unternehmen haben alte Sicherheit
    RD hat gute Arbeit geleistet, aber überraschend ist das überhaupt nicht
    Ich bin mir fast sicher, dass der Hash MD5 ist

    • Ich würde gern wissen, welcher Hash-Algorithmus verwendet wurde
    • Für eine F1-Seite passt „move fast and break things“ perfekt
      Das erinnert an xkcd 1428

  • Merkwürdig ist, dass der Betreiber der Website Ian Carroll ist, im Beispiel aber der bekannte Bug-Bounty-Hunter Sam Curry auftaucht

    • Dem Beitrag zufolge beschlossen Gal Nagli, Sam Curry und Ian, gemeinsam zu versuchen, F1-bezogene Websites zu hacken
    • Wenn man sich Ians andere Beiträge ansieht, merkt man, dass sie oft zusammenarbeiten