©Unsplash

©Unsplash

Bug bij de FIA: zo makkelijk kon je het paspoort van Max Verstappen stelen

PRAAT MEE!
Redacteur

Het was enige tijd mogelijk om verrassend eenvoudig het paspoort van Max Verstappen en andere Formule 1-coureurs te bemachtigen. Drie ethische hackers kwamen daar achter toen ze zich vastbeten in de website van motorsportorganisatie FIA. Inmiddels is de bug verholpen.

Het begon bij de classificatie-website van de FIA. Dat is het platform waar coureurs documenten zoals identiteitsbewijzen en racehistorie uploaden om een officiële FIA-classificatie te krijgen. Die informatie bleek echter niet al te goed beveiligd.

De hackers (Ian Carroll, Gal Nagli en Sam Curry) ontdekten dat het opvallend makkelijk was om het systeem voor de gek te houden. Met een slim trucje kregen ze veel meer rechten dan de bedoeling was, en dus ook toegang tot het paspoort, cv, licentie en andere persoonsgegevens van Max Verstappen.

Zo makkelijk was het om admin-rechten te krijgen

De fout werd ontdekt toen de hackers zelf een gratis account hadden aangemaakt en documenten gingen uploaden. Ze zagen daarbij een HTTP PUT-verzoek dat wordt gebruikt om een gebruiker bij te werken. Hierin stonden verschillende waarden zoals de naam van de gebruiker en het e-mailadres, maar in dit geval ook de rol van de gebruiker.

Door die rol simpelweg aan te passen naar ‘admin’ kregen de hackers met hun account opeens toegang tot allerlei extra functies. Zo zagen ze een uitgebreid dashboard met daarin gegevens van coureurs. Met een paar klikken konden ze bij het paspoort van Verstappen komen. Ze benadrukken dat ze die documenten niet hebben geopend, zoals bij een ethische hack hoort.

FIA fixt het

Hoewel er enige technische kennis nodig was, was het pijnlijk eenvoudig om bij al deze gegevens te komen. Gelukkig voor de FIA werd het lek door ethische hackers ontdekt, zodat het zonder schade kon worden opgelost.

De hackers meldden het lek op 3 juni bij de FIA; die ging er meteen mee aan de slag. Een week later was de kwetsbaarheid gepatcht en niet langer uit te buiten.

Lees meer over hacken en mis niets met onze Bright-app.