Caso em que passaporte e informações pessoais identificáveis de Max Verstappen foram acessados por meio de uma falha da FIA

 (ian.sh)
1 pontos por GN⁺ 2025-10-23 | 1 comentários | Compartilhar no WhatsApp
  • Pesquisadores de segurança descobriram que foi possível acessar informações sensíveis de pilotos de F1 por meio de uma vulnerabilidade no site de classificação de pilotos da FIA
  • O sistema opera separadamente da FIA Super Licence e é um portal onde os pilotos podem solicitar ou renovar sua categoria (bronze/prata/ouro/platina)
  • Os pesquisadores obtiveram privilégios de administrador e acessaram o dashboard interno usando uma vulnerabilidade de mass assignment em uma requisição HTTP PUT
  • Com isso, foi possível visualizar os dados de todos os pilotos, incluindo passaportes, e-mails, números de telefone, hashes de senha, currículos e outras PII
  • Este caso é um exemplo representativo de como a importância da gestão de segurança cresce junto com a digitalização da indústria esportiva

Contexto: a interseção entre F1 e cibersegurança

  • Nos últimos anos, com o aumento dos investimentos de startups de segurança e de venture capital, grandes eventos de networking passaram a girar em torno dos Grandes Prêmios de F1
    • CrowdStrike, Darktrace e outras investiram milhões de dólares como patrocinadoras de equipes
    • A Bitdefender firmou uma parceria oficial de cibersegurança e ficou responsável pela segurança de uma equipe de corrida
  • Os pesquisadores Gal Nagli, Sam Curry e Ian Carroll participaram desses eventos e tentaram identificar vulnerabilidades de segurança em sites de suporte relacionados à F1
  • Este blog é a primeira parte de uma trilogia e trata da primeira vulnerabilidade encontrada em um sistema ligado à F1

Visão geral do sistema de classificação de pilotos da FIA

  • Pilotos de F1 precisam possuir a FIA Super Licence, emitida anualmente por meio das associações nacionais de automobilismo (ASN)
    • É necessário cumprir requisitos de pontuação, idade, exames médicos e prova escrita
  • Separadamente, a FIA opera o sistema Driver Categorisation (drivercategorisation.fia.com) para gerenciar a categoria dos pilotos (bronze a platina)
    • O portal permite autoinscrição pública, e os participantes precisam enviar seu formulário de categoria junto com documento de identidade, currículo de carreira e outros materiais
    • Portadores de Super Licence recebem automaticamente a categoria platina

Como a vulnerabilidade foi descoberta

  • Depois de criar uma conta, os pesquisadores observaram uma requisição HTTP PUT ao editar o perfil
    • A requisição em si era simples, mas o JSON de resposta incluía campos adicionais como roles, birthDate e status
  • Ao analisar o código JavaScript, eles confirmaram que o site possuía vários papéis, como piloto, funcionário da FIA e administrador (admin)
  • Para testar se o campo roles podia ser atualizado sem validação do servidor, os pesquisadores enviaram uma requisição PUT incluindo o papel de administrador

Obtenção de privilégios de administrador

  • O exemplo da requisição era o seguinte
    • "roles": [{"id": 1, "description": "ADMIN role", "name": "ADMIN"}]
  • O servidor processou isso normalmente e retornou no JSON de resposta que o papel ADMIN havia sido atribuído
  • Ao fazer login novamente após a reautenticação, apareceu o dashboard de administrador da FIA, permitindo acesso a todos os recursos do lado do servidor, como classificação de pilotos, gestão de funcionários e edição de templates de e-mail

Possibilidade de acesso a informações sensíveis

  • Ao visualizar os perfis dos pilotos com privilégios de administrador, foram expostas as seguintes informações
    • Hashes de senha, e-mail, telefone, cópias de passaporte, currículos e informações pessoalmente identificáveis (PII)
    • Comentários internos sobre avaliação de pilotos e registros de decisões de comitês
  • Os pesquisadores afirmam que, durante os testes, confirmaram que era possível acessar o passaporte, a licença e as PII de Max Verstappen, mas destacam que não fizeram visualização efetiva nem armazenamento desses dados
  • Todos os dados de teste foram apagados imediatamente, e qualquer exploração adicional foi interrompida

Divulgação da vulnerabilidade e resposta

  • 3 de junho de 2025: primeiro relato enviado à FIA por e-mail e LinkedIn
  • No mesmo dia, a FIA tirou o site do ar
  • 10 de junho de 2025: a FIA comunicou oficialmente que a correção abrangente havia sido concluída
  • 22 de outubro de 2025: publicação do blog e divulgação pública do relatório

Implicações

  • Um caso que mostra que uma simples vulnerabilidade de mass assignment pode ocorrer até mesmo em sistemas com alta exigência de segurança
  • À medida que a digitalização da indústria esportiva acelera, cresce a necessidade de reforçar a proteção de dados pessoais e o controle de acesso
  • Especialmente instituições internacionais como a FIA precisam de verificações regulares de segurança sobre design de API e lógica de validação de permissões

Leituras relacionadas

1 comentários

 
GN⁺ 2025-10-23
Opinião no Hacker News

  • Isso não é apenas uma única vulnerabilidade, mas um conjunto de várias falhas de segurança
    Por exemplo, não há nenhuma necessidade de manter documentos de candidatos no servidor de produção depois que o objetivo já foi cumprido
    Isso também vai contra o princípio de minimizar o blast radius (raio de impacto)
    Numa situação dessas, os autores mereciam pelo menos ingressos grátis vitalícios

    • Regra 1: nunca confie em dados fornecidos pelo usuário
      No momento em que essa regra é quebrada, é só questão de tempo até que todas as outras desmoronem

  • Ian, acho que adicionar um feed RSS ao site aumentaria ainda mais o número de assinantes regulares

    • Ian realmente escreve muito bem
    • Também concordo com isso

  • Fiquei surpreso que tiraram o site do ar no próprio dia da denúncia
    É raro ver esse nível de rapidez na resposta

    • Sim, a correção também foi bem rápida
      É incomum uma empresa desse porte se mover tão depressa

  • Isso é um nível de segurança tão ruim que chega a ser constrangedor

    • Dá até vergonha chamar isso de segurança, estava simplesmente totalmente aberto
      Ainda assim, ver esse tipo de coisa até ajuda a aliviar um pouco minha síndrome do impostor
    • Você ficaria ainda mais surpreso se visse até os vídeos da festa

  • Numa situação dessas, dá até pena que não tenham dado aos autores uma Super Licença da F1 para que pudessem dirigir o carro eles mesmos

    • Se fosse só isso, já seria ótimo

  • Fico curioso se vocês já receberam ameaças legais ao fazer esse tipo de pesquisa de segurança
    Também queria saber se já receberam oferta de recompensa mesmo em lugares sem programa de bug bounty

    • Esse tipo de ação pode ser arriscado do ponto de vista legal
      Há muita gente no setor sem competência nem senso de responsabilidade
      Para essas pessoas, um reporte de segurança vira apenas “mais uma dor de cabeça”, então surge o incentivo de culpar o denunciante ou tentar alguma medida legal para escapar da responsabilidade
      Por isso, o mais seguro é agir anonimamente. Depois, se quiser, você ainda pode revelar sua identidade
    • O caso “Modern Solution”, na Alemanha, é um exemplo representativo
      Um engenheiro de TI encontrou uma senha e relatou a possibilidade de acessar o phpMyAdmin, mas a empresa o processou, e venceu até na mais alta corte
      Artigo relacionado (Heise)
    • Como explicado no blog, tentar elevar privilégios para administrador é juridicamente ambíguo
      Isso normalmente só é permitido no âmbito de um teste de red team oficial ou de um contrato de pentest
      Alegar depois que foi “ético” não é suficiente
    • Ameaças legais reais são raras, mas algumas empresas chegam a oferecer suborno sob o nome de “bug bounty retroativo”
      Esse tipo de proposta deve ser recusado sem exceção
    • Quando eu estava na faculdade, uma empresa fez ameaças legais depois que relatei uma vulnerabilidade, mas retirou tudo quando meu professor protestou com firmeza
      Nos 8 anos seguintes, nada parecido aconteceu
      Hoje em dia, as empresas parecem entender esse tipo de atividade melhor do que antes

  • Minha forma favorita de hackear é ler o JS e modificar requisições PUT
    Funciona com mais frequência do que se imagina

  • Empresa velha tem segurança velha
    O RD mandou bem, mas não é nem um pouco surpreendente
    Tenho quase certeza de que o hash provavelmente é MD5

    • Fiquei curioso para saber qual algoritmo de hash eles usam
    • Para um site de F1, “move fast and break things” combina perfeitamente
      Isso me lembra xkcd 1428

  • O curioso é que o operador do site é Ian Carroll, mas o exemplo mostra o famoso caçador de bug bounty Sam Curry

    • Segundo a postagem, Gal Nagli, Sam Curry e Ian decidiram tentar hackear juntos os sites relacionados à F1
    • Se você olhar outros textos do Ian, dá para ver que eles colaboram com frequência