Cómo tres hackers se hicieron con el pasaporte de Max Verstappen (accidentalmente)
Cómo empezó
Los tres investigadores de seguridad de esta historia son Ian Carroll, Sam Curry y Gal Nagli. Llevan años dedicados a detectar fugas digitales. Lo hacen no sólo para ganar dinero, sino también para ayudar a las organizaciones a proteger mejor sus sistemas. Mientras visitaban un evento de Fórmula 1, se les ocurrió la idea de echar un vistazo a lo bien protegido que estaba el entorno online de la FIA. No por mala intención, sino por pura curiosidad profesional.
El descubrimiento
Los piratas informáticos crearon una cuenta de prueba en una plataforma oficial de la FIA destinada a pilotos y equipos. Allí, por ejemplo, los pilotos pueden cargar sus datos para solicitar la llamada superlicencia, el «permiso de conducir» necesario para competir en la Fórmula 1. La plataforma parecía bastante inocente: rellenas algunos datos, subes documentos y esperas la aprobación.
Pero cuando los hackers estudiaron el sistema un poco más de cerca, descubrieron algo que no encajaba. El sitio web no comprobaba correctamente si alguien conectado tenía realmente los derechos que decía tener. Modificando unas pocas líneas de código, pudieron dar a su cuenta más poder, literalmente. En cuestión de segundos, eran administradores («el jefe») del sistema.
Acceso repentino a todo
Con esos nuevos derechos, de repente podían ver todos los datos de los conductores registrados en el sistema. Desde direcciones de correo electrónico y números de teléfono hasta permisos de conducir, currículos e incluso pasaportes. Cuando vieron que los datos de Max también estaban en el sistema, echaron inmediatamente el freno de mano. No hicieron copias, no compartieron nada y detuvieron su investigación.
Reacción de la FIA
Los investigadores informaron inmediatamente de la filtración a la FIA por correo electrónico y LinkedIn. La organización respondió el mismo día y desconectó el sistema. Al cabo de una semana, la filtración se había taponado y los hackers recibieron confirmación de que el problema se había solucionado por completo. Ahora, unos meses después, pueden hacer pública su historia, sin detalles demasiado delicados, por supuesto.
Foto del encabezado: Red Bull Contentpool