10月24日消息,科技媒体techradar昨日(10月23日)发布报告指出,F1管理机构国际汽联(FIA)系统存在严重的安全漏洞,可能导致所有F1车手的个人身份信息(PII)泄露,其中包含护照与驾照的详细信息。
研究人员Ian Carroll、Gal Nagli与Sam Curry在测试中利用该漏洞,成功调阅了赛道上每一位F1车手的个人资料。值得庆幸的是,目前尚无证据显示已有不法分子借此漏洞窃取数据,并且该缺陷现已被修复。
据相关博文说明,本次安全事件的突破口在于国际汽联的驾驶员分级系统。由于车手每年需要通过该平台更新参赛所需的超级驾照,因此该注册门户对外开放,任何人都能申请账户。
研究人员正是利用了这一特性,创建了属于自己的驾照账户。在更新个人信息时,他们注意到服务器返回的数据远超其提交的内容。例如,当编辑姓名与邮箱时,系统不仅会返回这些基本信息,还会额外附带生日以及一个关键字段——“角色”(role)。

这个“角色”字段代表了账户的访问权限级别,例如“车手”、“FIA员工”或“管理员”。研究人员随后利用一个名为“大规模赋值”(Mass Assignment)的常见API漏洞,在更新个人信息的请求中,简单地将自己的角色修改为“admin”(管理员),从而轻松获取了系统的最高权限。

拥有管理员权限后,研究人员能够访问系统内的所有数据。这不仅包括所有F1车手的驾照申请资料,还涵盖了他们上传的护照、个人联系方式等高度敏感的文件。更严重的是,他们甚至能查阅国际汽联内部关于驾照审批决策的通信记录,整个系统的核心数据完全暴露无遗。

国际汽联的一位发言人在回应此事时表示,他们在夏季期间已察觉到该网络安全事件,并立即采取措施保护车手数据,同时按规定向相关数据保护机构进行了报告,并通知了少数受影响的车手。

