La Fórmula 1 pateix un ciberatac que exposa dades sensibles de més de 7.000 pilots

La Federació Internacional de l'Automòbil (FIA), òrgan de govern de la Fórmula 1 i altres categories de l'automobilisme mundial, ha confirmat que va ser víctima d'un ciberatac que va exposar les dades personals i sensibles de més de 7.000 pilots. L'incident, ocorregut el passat 3 de juny, ha sortit a la llum aquesta setmana després de ser revelat públicament pels investigadors de seguretat que van descobrir les vulnerabilitats i van alertar la FIA.

‍

Quines dades es van veure compromeses en l'atac contra la FIA?

L'atac va afectar el portal de Categorització de pilots de la FIA, una plataforma on es gestionen superllicències, classificacions i documentació confidencial dels pilots professionals. Els pirates informàtics van poder accedir a:

• Passaports i documents d'identitat
• Currículums vitae i dades de contacte (correus electrònics i telèfons)
• Hash de contrasenyes i credencials d'accés
• Informació sobre superllicències i qualificacions de pilots
• Comunicacions internes entre la FIA i els pilots

Entre els afectats hi ha el quatre vegades campió del món de Fórmula 1. Max Verstappen, les dades personals dels quals podrien ser visualitzades pels atacants, encara que afirmen no haver conservat informació sensible ni haver accedit a documents confidencials complets.

Qui va ser el responsable i com va actuar?

Els responsables del hack van ser tres investigadors de seguretat coneguts com Gal Nagli, Sam Curry I Ian Carroll, que s'identifiquen com a aficionats de la Fórmula 1 i diuen que el seu objectiu era exposar vulnerabilitats en el sistema i no causar perjudicis. Segons Carroll, van poder elevar els seus privilegis d'un compte d'usuari normal a guanyar accés complet d'administrador en menys de 10 minuts.

Un cop dins del sistema, van validar que era possible accedir a informació crítica sobre qualsevol pilot i van decidir aturar les proves immediatament. Van notificar a la FIA el 3 de juny les faltes detectades, ajudant a corregir el problema. El portal es va desconnectar immediatament i restaurar amb mesures de seguretat reforçades el passat 10 de juny.

Reacció de la FIA i mesures adoptades

La FIA va emetre un comunicat oficial del Gran Premi de Mèxic confirmant l'incident i les accions correctores preses. “La FIA va tenir coneixement d'un ciberincident que afectava el lloc web de Categorització de Pilots durant l'estiu. Es van prendre mesures immediates per protegir les dades pilot i es va informar del problema a les autoritats competents de protecció de dades”, va dir l'agència.

La federació afirma haver invertit considerablement en ciberseguretat i està implementant polítiques de “seguretat per disseny” en totes les seves plataformes digitals. A més, van notificar a tots els pilots afectats i van confirmar que cap altra plataforma digital de la FIA estava compromesa.

Lliçons i reptes restants per a l'esport automobilístic

Aquest incident posa de manifest la importància crítica de la ciberseguretat en organitzacions esportives d'alt nivell que gestionen informació sensible de milers de persones. L'incompliment va evidenciar una manca de protocols adequats per a la gestió de credencials compartides i uns controls d'accés insuficients.

El cas de la FIA posa de manifest la necessitat de:

• Auditories regulars de seguretat i proves de penetració
• Gestió robusta d'identitat i privilegis
• Formació contínua en ciberseguretat per a equips interns
• Col·laboració amb la comunitat d'investigadors ètics per detectar vulnerabilitats abans que siguin explotades amb finalitats malicioses

‍

La teva organització gestiona dades sensibles i vols evitar incompliments de seguretat?
‍

A Apolo Cybersecurity, realitzem auditories avançades, proves de penetració i formem equips per anticipar i mitigar riscos crítics. Protegeix la teva reputació i la confiança dels teus usuaris.