网络安全研究人员通过漏洞访问了国际汽联(FIA)系统,获取了包括F1车手维斯塔潘护照在内的敏感个人信息。他们发现FIA网站存在安全缺陷,能够查看车手驾照分类和隐私数据。这暴露了F1赛事相关系统的安全隐患,尽管这些漏洞现已修复。该事件是系列漏洞发现的第一部分。

标题：黑客入侵F1系统：通过FIA漏洞获取维斯塔潘护照及个人敏感信息

近年来，随着网络安全初创企业获得大量风投资金，一些顶级社交活动开始围绕F1大奖赛展开。CrowdStrike、Darktrace等公司斥巨资赞助车队，Bitdefender等企业则成为车队的官方网络安全合作伙伴。

网络安全研究员Gal Nagli、Sam Curry和Ian Carroll通过积累航空里程和行业人脉，获得了参加这些活动的机会。他们决定对F1相关支持网站进行安全测试，本报告是该系列漏洞的第一部分。

研究发现： 1. F1车手需持有国际汽联（FIA）颁发的超级驾照，该执照通过各国汽协（ASN）每年核发。FIA同时运营着"车手分级系统"（drivercategorisation.fia.com），用于管理车手的青铜/白银/黄金/白金等级。

2. 研究人员发现该系统存在严重漏洞：

• 通过简单的HTTP PUT请求即可修改用户资料
• 响应报文暴露了"roles"等敏感参数
• 通过分析JavaScript代码，成功构造请求将自己提升为管理员

3. 获得管理员权限后可以：

• 查看所有车手的密码哈希、邮箱、电话等个人信息
• 访问护照、简历、执照等敏感文件
• 查阅FIA内部关于车手分级的所有通信记录
• 包括现役F1冠军车手马克斯·维斯塔潘在内的多位车手信息面临泄露风险

重要说明： - 研究人员表示未实际下载任何敏感信息，并已删除相关数据 - 漏洞于2025年6月3日向FIA披露 - FIA当日即下线系统进行修复 - 10月22日发布完整报告进行公开披露

（注：文中技术细节已作简化处理，去除了部分代码和请求示例，保留了关键漏洞描述。图片链接因技术原因未予保留。）

这篇评论主要围绕几个核心观点展开：

1. 安全漏洞问题

• 批评网站存在严重安全隐患（评论4："shamefully poor security"）
• 指出多重安全失误（评论8："not just one vulnerability, that's a whole slew of failures"）

2. 技术建议

• 建议使用现有框架而非重复造轮子（评论5："Just use a framework to build your site"）
• 质疑过时的安全措施（评论6："Archaic company has archaic security"）

3. GDPR数据保护争议

• 揭露GDPR执行中的形式主义问题（评论9："hand it over via email, in a shoddy PDF form"）
• 指出数据保护政策被滥用（评论9："profoundly been weaponized"）

4. 其他观点

• 对漏洞披露法律风险的疑问（评论1："any legal threats etc from this kind of probing"）
• 网站运营者身份混淆（评论3："site is run by an Ian Carroll, but the examples show Sam Curry"）
• 幽默建议（评论10："missed opportunity to grant...F1 super license"）

典型引用： - "That is shamefully poor security"（评论4） - "Whatever the intent was of consumer data protection, it has already profoundly been weaponized"（评论9）