Auto Nachrichten

Wie drei Hacker (versehentlich) in den Besitz von Max Verstappens Reisepass kamen

Oktober 24, 2025

Wie es begann

Die drei Sicherheitsforscher in dieser Geschichte sind Ian Carroll, Sam Curry und Gal Nagli. Sie beschäftigen sich seit Jahren mit dem Aufspüren digitaler Lecks. Sie tun dies nicht nur, um Geld zu verdienen, sondern auch, um Organisationen zu helfen, ihre Systeme besser zu schützen. Bei einem Besuch einer Formel-1-Veranstaltung kamen sie auf die Idee, sich anzusehen, wie gut die Online-Umgebung der FIA geschützt ist. Nicht aus böswilligen Absichten, sondern aus reiner beruflicher Neugierde.

Die Entdeckung

Die Hacker erstellten ein Testkonto auf einer offiziellen FIA-Plattform, die für Fahrer und Teams gedacht ist. Dort können Fahrer zum Beispiel ihre Daten hochladen, um ihre so genannte Superlizenz zu beantragen – den „Führerschein“, den man braucht, um in der Formel 1 zu fahren. Die Plattform schien unschuldig genug: Sie geben einige Informationen ein, laden Dokumente hoch und warten auf die Genehmigung.

Aber als die Hacker das System etwas genauer untersuchten, entdeckten sie etwas, das nicht dazugehörte. Die Website überprüfte nicht ordnungsgemäß, ob jemand, der sich anmeldete, tatsächlich die Rechte hatte, die er behauptete. Durch die Änderung einiger Codezeilen konnten sie ihrem Konto mehr Macht geben – im wahrsten Sinne des Wortes. Innerhalb von Sekunden waren sie Administrator („der Boss“) des Systems.

Plötzlicher Zugriff auf alles

Mit diesen neuen Rechten konnten sie plötzlich alle Daten der im System registrierten Fahrer einsehen. Von E-Mail-Adressen und Telefonnummern bis hin zu Führerscheinen, Lebensläufen und sogar Pässen. Als sie sahen, dass auch die Daten von Max in dem System waren, zogen sie sofort die Handbremse. Sie machten keine Kopien, gaben nichts weiter und stellten ihre Ermittlungen ein.

Die Reaktion der FIA

Die Ermittler meldeten das Leck sofort per E-Mail und LinkedIn an die FIA. Die Organisation reagierte noch am selben Tag und nahm das System vom Netz. Innerhalb einer Woche war das Leck gestopft und die Hacker erhielten die Bestätigung, dass das Problem vollständig behoben worden war. Jetzt – einige Monate später – dürfen sie ihre Geschichte öffentlich machen – natürlich ohne allzu sensible Details.

Kopfzeilenfoto: Red Bull Contentpool

Lesen Sie auch: Formel 1 Kalender 2026: Das sind alle 24 Rennen!

Formel 1-Kalender 2026: Das sind alle 24 Rennen!