Sicherheitslücke: Per Website-Bug zum Ausweis eines Formel-1-Rennfahrers
Die drei Sicherheitsforscher Gal Nagli, Sam Curry und Ian Carroll haben eine Schwachstelle in einem Webportal des Motorsport-Dachverbands FIA (Fédération Internationale de l'Automobile) aufgedeckt. Damit war es ihnen möglich, auf dem betroffenen System Adminrechte zu erlangen und anschließend persönliche Daten von Rennfahrern abzugreifen – darunter auch jene des Formel-1-Fahrers Max Verstappen.
Ihre Vorgehensweise erläutern die Forscher in einem Blogbeitrag(öffnet im neuen Fenster) . Das anvisierte Webportal dient demnach der Verwaltung der FIA Fahrereinstufung(öffnet im neuen Fenster) . Je nach Alter, Lizenzstatus und Platzierungen bei Wettbewerben werden Rennfahrer dort in eine der Kategorien Bronze, Silber, Gold oder Platin eingeteilt.
Das geschieht allerdings nicht automatisch. Fahrer müssen sich selbst bei dem unter drivercategorisation.fia.com erreichbaren Webportal registrieren und den jeweiligen Status unter Vorlage entsprechender Nachweise beantragen. Eine Registrierung ist damit auch für Nicht-Rennfahrer möglich. Nagli, Curry und Carroll nutzten diesen Umstand, um sich auf Fehlersuche zu begeben.
PUT-Request als Schlüssel zum Admin-Status
Nachdem die Forscher ein eigenes Konto erstellt hatten, fiel ihnen ein HTTP-PUT-Request auf, der zur Aktualisierung des jeweiligen Nutzerprofils verwendet wurde. Die Antwort des Servers ließ erahnen, dass das System mit Nutzerrollen arbeitet. Durch Analyse des Javascript-Codes der Plattform fanden die Forscher heraus, dass es mehrere verschiedene Rollen gab, etwa für Fahrer, Mitarbeiter und auch Administratoren.
Das Forscherteam erprobte direkt die Admin-Rolle, um möglichst weitreichende Zugriffsrechte zu erhalten – mit Erfolg: Nach Übergabe der Rolle "Admin" über den genannten PUT-Request bestätigte der Server die Änderung. Ein erneutes Log-in reichte danach aus, um Zugriff auf das Admin-Dashboard zu erhalten.
Bug innerhalb einer Woche gefixt
Dort konnten die Forscher nach eigenen Angaben auf fremde Profile zugreifen und unter anderem E-Mail-Adressen, Rufnummern, Lebensläufe, hochgeladene Ausweise, Lizenzen, Fahrereinstufungen, Passwort-Hashes und interne Nachrichtenverläufe zwischen den Fahrern und der FIA einsehen. Auch entsprechende Daten des prominenten Formel-1-Fahrers Max Verstappen waren dort zugänglich, wie die Forscher mit einem Screenshot belegen.
Die Sicherheitsforscher meldeten ihre Entdeckung laut Blogbeitrag am 3. Juni 2025 an die FIA. Noch am selben Tag soll der Motorsport-Dachverband reagiert und das betroffene Webportal vom Netz genommen haben. Etwa eine Woche später war der Fehler wohl korrigiert.
Das Forscherteam entdeckte nach eigenen Angaben noch weitere Sicherheitslücken in Verbindung mit der Formel 1. Diese sollen aber erst zu einem späteren Zeitpunkt mit zwei anderen Blogbeiträgen offengelegt werden.
- Anzeige Hier geht es zu F1 24 bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.