Un caso en el que se accedió al pasaporte y a información de identificación personal de Max Verstappen mediante un bug de la FIA

 (ian.sh)
1 puntos por GN⁺ 2025-10-23 | 1 comentarios | Compartir por WhatsApp
  • Investigadores de seguridad descubrieron que pudieron acceder a información sensible de pilotos de F1 a través de una vulnerabilidad en el sitio web de clasificación de pilotos de la FIA
  • Este sistema opera por separado de la FIA Super Licence y es un portal donde los pilotos pueden solicitar o renovar su categoría (bronce/plata/oro/platino)
  • Los investigadores obtuvieron privilegios de administrador y accedieron al panel interno usando una vulnerabilidad de mass assignment en una solicitud HTTP PUT
  • Esto les permitió ver los datos de todos los pilotos, incluidos pasaportes, correos electrónicos, números de teléfono, hashes de contraseñas, currículums y otros PII
  • Este caso es un ejemplo representativo de cómo la importancia de la gestión de seguridad está aumentando junto con la digitalización de la industria del deporte

Contexto: la intersección entre la F1 y la ciberseguridad

  • En los últimos años, con el aumento de la inversión de startups de seguridad y capital de riesgo, los principales eventos de networking han tendido a girar en torno a los Grandes Premios de F1
    • CrowdStrike, Darktrace y otros han invertido millones de dólares como patrocinadores de equipos
    • Bitdefender firmó una alianza oficial de ciberseguridad para encargarse de la seguridad de un equipo de carreras
  • Los investigadores Gal Nagli, Sam Curry e Ian Carroll asistieron a estos eventos e intentaron buscar vulnerabilidades de seguridad en sitios web de soporte relacionados con la F1
  • Este blog es la primera parte de una trilogía y trata la primera vulnerabilidad encontrada en sistemas relacionados con la F1

Resumen del sistema de clasificación de pilotos de la FIA

  • Los pilotos de F1 deben contar con una FIA Super Licence, emitida cada año a través de la asociación nacional de automovilismo (ASN) de cada país
    • Deben cumplir ciertos requisitos de puntos, edad, exámenes médicos y prueba escrita
  • La FIA también opera por separado el sistema Driver Categorisation (drivercategorisation.fia.com) para gestionar la categoría de los pilotos (de bronce a platino)
    • Este portal permite el autoregistro público, y los participantes deben subir su solicitud de categoría junto con documentos de identidad, historial profesional, etc.
    • A los poseedores de una Super Licence se les asigna automáticamente la categoría platino

Cómo se descubrió la vulnerabilidad

  • Tras crear cuentas, los investigadores observaron una solicitud HTTP PUT al editar el perfil
    • La solicitud en sí era simple, pero el JSON de respuesta incluía campos adicionales como roles, birthDate y status
  • Al analizar el código JavaScript, confirmaron que el sitio tenía varios roles, como piloto, personal de la FIA y administrador (admin)
  • Para comprobar si el campo roles podía actualizarse sin validación del lado del servidor, enviaron una solicitud PUT que incluía el rol de administrador

Obtención de privilegios de administrador

  • El ejemplo de solicitud era el siguiente
    • "roles": [{"id": 1, "description": "ADMIN role", "name": "ADMIN"}]
  • El servidor lo procesó normalmente y devolvió en el JSON de respuesta que el rol ADMIN había sido asignado
  • Al volver a iniciar sesión después de reautenticarse, apareció el panel de administración de la FIA, lo que permitió acceso completo a todas las funciones del lado del servidor, incluyendo clasificación de pilotos, gestión de personal y edición de plantillas de correo electrónico

Posibilidad de acceso a información sensible

  • Al revisar perfiles de pilotos con privilegios de administrador, quedó expuesta información como la siguiente
    • Hashes de contraseñas, correos electrónicos, números de teléfono, copias de pasaportes, currículums e información de identificación personal (PII)
    • Comentarios internos relacionados con la evaluación de pilotos y registros de decisiones del comité
  • Los investigadores indicaron que durante las pruebas confirmaron que era posible acceder al pasaporte, la licencia y los PII de Max Verstappen, pero aclararon que no los visualizaron ni los guardaron realmente
  • Todos los datos de prueba fueron eliminados de inmediato y se detuvo cualquier intrusión adicional

Divulgación de la vulnerabilidad y respuesta

  • 3 de junio de 2025: primer reporte a la FIA por correo electrónico y LinkedIn
  • Ese mismo día, la FIA desconectó el sitio
  • 10 de junio de 2025: la FIA informó oficialmente que había completado una corrección integral
  • 22 de octubre de 2025: publicación del blog y divulgación pública

Implicaciones

  • Es un caso que muestra que una simple vulnerabilidad de mass assignment puede aparecer incluso en sistemas con altos requisitos de seguridad
  • A medida que se acelera la digitalización de la industria del deporte, aumenta la necesidad de reforzar la protección de datos personales y el control de acceso
  • En especial, organizaciones internacionales como la FIA necesitan revisiones de seguridad periódicas sobre el diseño de APIs y la lógica de verificación de permisos

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-10-23
Opiniones de Hacker News

  • Esto no es solo una vulnerabilidad simple, sino un conjunto de múltiples fallas de seguridad
    Por ejemplo, no tiene ningún sentido seguir dejando documentos de solicitantes en producción después de haber cumplido su propósito
    Eso también va en contra del principio de minimizar el blast radius (alcance del daño)
    En una situación así, hasta deberían darles boletos gratis de por vida

    • Regla 1: nunca confíes en los datos de entrada del usuario
      En el momento en que esta regla se rompe, es solo cuestión de tiempo para que todas las demás también se vengan abajo

  • Ian, creo que si agregas un feed RSS al sitio web tendrás más suscriptores recurrentes

    • Ian realmente escribe muy bien
    • Yo también estoy de acuerdo con esa opinión

  • Sorprende que hayan puesto el sitio fuera de línea el mismo día del reporte
    Esa velocidad de respuesta es algo poco común

    • Sí, y la corrección también fue bastante rápida
      Es raro ver a una empresa de ese tamaño moverse así de rápido

  • Este es un nivel de seguridad vergonzosamente malo

    • Hasta da pena llamar a esto seguridad, estaba completamente abierto
      Aun así, ver cosas así hace que mi síndrome del impostor se alivie un poco
    • Si ves hasta los videos de la fiesta, te sorprenderás aún más

  • En una situación así, da pena que no les hayan dado aunque sea una Super Licencia de F1 para que manejaran el auto ellos mismos

    • Ojalá eso hubiera sido todo

  • Me pregunto si alguna vez han recibido amenazas legales por hacer este tipo de exploración de seguridad
    También me pregunto si alguna vez les han ofrecido recompensas en lugares que no tienen programa de bug bounty

    • Este tipo de acciones puede ser legalmente riesgoso
      En la industria hay mucha gente sin capacidad ni sentido de responsabilidad
      Para esas personas, un reporte de seguridad se convierte en una ‘molestia’, así que tienen incentivos para culpar al reportante o intentar tomar acciones legales para evadir responsabilidad
      Por eso, lo más seguro es actuar de forma anónima. Si quieres, siempre puedes revelar tu identidad después
    • El caso alemán de “Modern Solution” es un ejemplo representativo
      Un ingeniero de TI encontró una contraseña y reportó que era posible acceder a phpMyAdmin, pero la empresa lo demandó, y la empresa terminó ganando hasta en la corte suprema
      Artículo relacionado (Heise)
    • Como se explica en el blog, intentar escalar privilegios de administrador es legalmente ambiguo
      Normalmente eso solo se permite dentro de una prueba formal de red team o bajo un contrato de prueba de penetración
      No basta con alegar después que fue ‘ético’
    • Las amenazas legales reales son poco comunes, pero algunas empresas incluso ofrecen sobornos bajo el nombre de ‘bug bounty retroactivo’
      Ese tipo de propuesta debe rechazarse sin falta
    • Cuando reporté una vulnerabilidad en mis años universitarios, la empresa me amenazó legalmente, pero cuando mi profesor protestó con firmeza, se retractaron
      Después de eso, no me volvió a pasar en 8 años
      Hoy en día las empresas parecen entender mejor este tipo de actividades que antes

  • Mi forma favorita de hackear es leer el JS y modificar una solicitud PUT
    Funciona más seguido de lo que uno pensaría

  • Empresas viejas, seguridad vieja
    RD hizo un buen trabajo, pero no sorprende en absoluto
    Casi estoy seguro de que el hash probablemente sea MD5

    • Me pregunto qué algoritmo de hash estarán usando
    • Para un sitio de F1, “move fast and break things” le queda perfecto
      Me hace pensar en xkcd 1428

  • Lo raro es que el operador del sitio es Ian Carroll, pero en el ejemplo aparece el famoso cazador de bug bounty Sam Curry

    • Según la publicación, Gal Nagli, Sam Curry e Ian decidieron juntos intentar hackear sitios relacionados con F1
    • Si ves otros textos de Ian, se nota que suelen colaborar con frecuencia