El verano pasado, la página web de licencias de la FIA fue pirateado por un grupo de tres hackers: Gal Nagli, Sam Curry e Ian Carroll. Aunque hace meses del pirateo, no lo hizo público hasta esta semana en las redes sociales. Los piratas informáticos revelaron que son grandes aficionados a la Fórmula 1 y aseguraron que no tenían intenciones maliciosas y que únicamente querían mostrar los puntos débiles de los sistemas de la FIA y hacer más fuerte “todo el ecosistema”.
El problema de la página web de licencias de la FIA es que todos los pilotos de Fórmula 1 deben tener una superlicencia para competir en la máxima categoría, pero para otras categorías está la categorización de la FIA de pilotos de oro, plata o bronce, que se gestiona en un portal específico de la FIA, en el que los propios pilotos también pueden solicitar que se les rebaje su categoría de oro a plata, lo que puede resultar especialmente útil en las carreras de resistencia.
Cambio de rol a administrador y acceso a los datos
Los hackers en cuestión crearon un perfil y luego descubrieron en Javascript que era posible ajustar su “rol”. La página web parecía tener varios roles: pilotos, empleados de la FIA y administradores.
Lógicamente, este último era el más interesante, por lo que los hackers intentaron cambiar su perfil para ser administradores mediante una “petición HTTP PUT”. Parecía que funcionaba y después de iniciar sesión de nuevo, la web tenía un aspecto totalmente diferente y tuvieron acceso a un panel donde el organismo rector puede clasificar a todos los pilotos.
Para validar su hallazgo, los piratas informáticos intentaron acceder al perfil de un piloto. Comprobaron que podían ver el hash de la contraseña, la dirección de correo electrónico, el número de teléfono y el pasaporte, entre otros datos. Además, también pudieron leer toda la comunicación interna entre la FIA y el piloto en cuestión sobre la categorización.
Después, los hackers vieron que todos los pilotos de Fórmula 1 estaban en el sistema y fue posible ver el pasaporte de Max Verstappen, entre otras cosas. Los hackers afirman que se detuvieron después de eso y que no acabaron viendo ninguna información sensible.
La FIA intervino inmediatamente
Después de este “exitoso” hackeo el 3 de junio, la FIA fue notificada el mismo día y -en cooperación entre los hackers y la federación- se tomaron medidas. En un principio, la página web fue desconectada inmediatamente y el 10 de junio, la FIA informó de que se había “arreglado”.
Ante una pregunta de Motorsport.com en la previa de México, un portavoz de la FIA confirmó esta versión y compartió en un comunicado: “La FIA tuvo conocimiento de un incidente cibernético con la página web de Categorización de Pilotos de la FIA este verano. Se tomaron medidas inmediatas para proteger los datos de los pilotos. La FIA informó de este incidente a las autoridades pertinentes de protección de datos, de acuerdo con sus obligaciones. La FIA también ha notificado al pequeño número de pilotos afectados por este incidente. Ninguna otra plataforma digital de la FIA se ha visto afectada por este incidente”, decía el comunicado.
“La FIA ha invertido ampliamente en ciberseguridad y medidas para todas sus plataformas digitales. La FIA ha puesto en marcha medidas de seguridad del más alto nivel para proteger los datos de todas las partes interesadas. Estamos aplicando una política de ‘seguridad por diseño’ para todas nuestras nuevas iniciativas digitales”, concluyó.
