Az esetet a nyár folyamán észlelték, az FIA pedig azóta megerősítette, hogy az érintetteket értesítették, és az ügyet a jogszabályoknak megfelelően bejelentették az illetékes adatvédelmi hatóságoknak.
Egy X (korábban Twitter) felhasználó állítása szerint ő és két társa etikus hackelés céljából vizsgálta az FIA versenyzői kategorizációs portálját, és a rendszer egyik hibáját kihasználva adminisztrátori hozzáférést szereztek. Ez a szintű jogosultság lehetővé tette számukra, hogy megtekintsék a portálon tárolt személyes adatokat – köztük útlevélszámokat, elérhetőségeket és szuperlicenc-információkat.
A hackerek elmondása szerint nem töltöttek le és nem mentettek el érzékeny adatokat, csupán demonstrálni akarták a rendszer sebezhetőségét. A hozzáférést megszüntették, és az FIA-t azonnal értesítették, amely ezután lezárta a biztonsági rést.
A hiba technikai oka egy úgynevezett mass assignment volt – ez azt jelenti, hogy a szerver automatikusan elfogadta a rendszergazdai jogosultságra vonatkozó kérést anélkül, hogy ellenőrizte volna, a felhasználó valóban rendelkezik-e ilyen joggal.
Az FIA közleményben reagált az esetre, hangsúlyozva, hogy azonnali intézkedéseket hoztak a versenyzők adatainak védelme érdekében.
„A FIA nyáron tudomást szerzett egy kiberincidensről, amely a versenyzői kategorizálási weboldalát érintette. Azonnal lépéseket tettünk az adatok biztonsága érdekében, és jelentettük az ügyet az illetékes adatvédelmi hatóságoknak. Értesítettük az érintett versenyzőket is.”
A szövetség hozzátette, hogy a probléma nem érintett más FIA-platformokat, és továbbra is jelentős erőforrásokat fordít a kiberbiztonság megerősítésére.
„Világszínvonalú adatbiztonsági intézkedéseket alkalmazunk, és minden új digitális fejlesztésünknél a biztonság-orientált tervezés elvét követjük.”
