Утечка данных в Ф-1: личные данные гонщиков на виду
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
На кибербезопасность в мире Формулы-1 тратятся миллионы долларов, но, как оказалось, иногда достаточно одной уязвимости, чтобы личные данные всех гонщиков утекли, как вода сквозь пальцы. Даже чемпионы этого элитного автоспорта оказались не защищены от банальных хакерских лазеек.
Исследователи по кибербезопасности Ян Кэрролл, Галь Нагли и Сэм Карри заявили, что взломали сайт Международной автомобильной федерации – это та самая FIA, регулирующая всё в Формуле-1, – и получили полный доступ к паспортам, водительским удостоверениям и другим данным абсолютно всех гонщиков из стартового списка. Эти данные, в том числе персональные сведения (PII – Personally Identifiable Information), оказались доступны из-за уязвимости на сайте, предназначенном для подачи заявок на получение суперлицензии FIA. Без этой лицензии никто не сможет выйти на трассу Формулы-1. Чтобы продлить её, пилоты ежегодно заполняют свои данные на портале… который оказался дырявым.
Любой желающий мог создать там аккаунт и даже попытаться «отредактировать» свои сведения. Именно так и сделали исследователи. В процессе они заметили, что сервер возвращает больше информации, чем ты сам вбил: имя, e-mail, дату рождения и — внимание! — «роль». Роль давала доступ к разным уровням: гонщик, сотрудник FIA или даже админ. С помощью банальной хакерской уязвимости типа Mass Assignment, которая известна каждому студенту-айтишнику, исследователи просто поменяли свою роль на «админ» и получили права на всё, что существует на сайте.
В результате – полный доступ ко всем заявкам, сканам документов и даже к внутренней переписке FIA по вопросам лицензирования. Можно было узнать не только, кто когда водит болид, но и номер паспорта каждого гонщика плюс личные контакты.
В FIA подтвердили: да, летом произошёл киберинцидент на портале по категоризации гонщиков. Данные части пилотов оказались под угрозой, но оперативно были предприняты меры: уязвимость закрыли, случай доложили регуляторам по защите данных, а пострадавших уведомили. Другие цифровые сервисы FIA формально не пострадали.
Руководители FIA уверяют, что вложили солидные суммы в кибербезопасность и продолжают внедрять первоклассные средства защиты и политику безопасности-«по умолчанию» для всех новых цифровых проектов.
Тем временем, для Формулы-1 вопросы информационной безопасности стоят так же остро, как и борьба за поул-позишн на старте. Практически у каждой команды свой партнёр по кибербезопасности: Williams охраняет Keeper Security, у Ferrari — Bitdefender, у Red Bull — 1Password и так далее. Остаётся лишь признать: даже если у тебя в партнёрах лучшие специалисты, подставить тебя может всего лишь один незащищённый сайт самого главного надзорного органа.
PEREC.RU
За кибербезопасность в Формуле-1 хватаются обеими руками — бюджеты огромные, а партнеры с громкими названиями. Только вот очередная уязвимость всё равно, как обычно, приходит сбоку, где не ждёшь — на скромном сайте FIA для регистрации гонщиков. Трое исследователей решили поиграть с формами: вбил данные, поменял роль — и вместо 'гонщик' получаешь доступ администратора со всеми привилегиями. То, что простейшая уязвимость позволяла вытащить копии паспортов и личные контакты элиты Формулы-1, говорит о многом: слабое место почти всегда там, где нет профита для подрядчиков и где процессы должны работать 'по регламенту'. FIA после инцидента быстренько закрыла дыру и помахала бумажкой регулятору — формальность соблюдена, кто пострадал, тому сообщено лично. Вмешательство, правда, не обнаружено — 'плохо, но не критично', как любят говорить большие боссы в таких случаях. Можно ли доверять безопасности остальных платформ FIA и команд? Вопрос риторический: уязвимости появляются даже там, где вам про безопасность вещают с трибун и клеят наклейки на болиды. Кому выгодно? Всем подряд: халатность в цепочке всегда остаётся бесплатным бонусом для тех, кто любит полазить там, где не надо.
