เจาะระบบ FIA: นักวิจัยเผยช่องโหว่ที่เข้าถึงข้อมูลลับของนักแข่ง F1 รวมถึง Max Verstappen
ในโลกของ Formula 1 ที่เต็มไปด้วยเทคโนโลยีและความเร็ว มีอีกด้านหนึ่งที่ไม่ค่อยถูกพูดถึง—ด้านความปลอดภัยไซเบอร์ ล่าสุดนักวิจัยด้านความปลอดภัย Ian Carroll, Sam Curry และ Gal Nagli ได้เปิดเผยช่องโหว่ร้ายแรงในระบบ Driver Categorisation ของ FIA ซึ่งทำให้สามารถเข้าถึงข้อมูลส่วนตัวของนักแข่ง F1 ได้ รวมถึงพาสปอร์ตและข้อมูลของ Max Verstappen!
ช่องโหว่นี้เกิดจากการออกแบบ API ที่ไม่ปลอดภัย โดยระบบอนุญาตให้ผู้ใช้ส่ง HTTP PUT request เพื่ออัปเดตโปรไฟล์ของตนเอง แต่กลับไม่มีการตรวจสอบสิทธิ์อย่างเหมาะสม ทำให้นักวิจัยสามารถแนบข้อมูล “roles” เพื่อยกระดับสิทธิ์เป็น “ADMIN” ได้สำเร็จ เมื่อเข้าสู่ระบบใหม่ พวกเขาก็สามารถเข้าถึง dashboard สำหรับผู้ดูแลระบบ ซึ่งเปิดให้ดูข้อมูลลับของนักแข่งทุกคน
ข้อมูลที่สามารถเข้าถึงได้รวมถึง hash ของรหัสผ่าน, อีเมล, เบอร์โทรศัพท์, พาสปอร์ต, ประวัติการแข่งขัน และแม้แต่การตัดสินภายในของคณะกรรมการ FIA นักวิจัยยืนยันว่าไม่ได้ดาวน์โหลดหรือเก็บข้อมูลใดๆ และได้แจ้งเตือน FIA ตั้งแต่เดือนมิถุนายน 2025 ซึ่งทาง FIA ได้ตอบรับและแก้ไขระบบแล้ว
ช่องโหว่ที่ค้นพบ
อยู่ในระบบ Driver Categorisation ของ FIA
ใช้ HTTP PUT request เพื่ออัปเดตโปรไฟล์โดยไม่มีการตรวจสอบสิทธิ์
สามารถแนบ “roles” เพื่อยกระดับสิทธิ์เป็น ADMIN ได้
ข้อมูลที่สามารถเข้าถึงได้
พาสปอร์ต, อีเมล, เบอร์โทรศัพท์, hash ของรหัสผ่าน
ประวัติการแข่งขันและเอกสารประกอบ
ข้อมูลการตัดสินภายในของคณะกรรมการ FIA
นักวิจัยที่ค้นพบ
Ian Carroll, Sam Curry, Gal Nagli
ได้แจ้งเตือน FIA ตั้งแต่วันที่ 3 มิถุนายน 2025
FIA ตอบรับและแก้ไขระบบภายใน 1 สัปดาห์
ความสำคัญของระบบ Driver Categorisation
ใช้จัดระดับนักแข่งเป็น Bronze/Silver/Gold/Platinum
แยกจากระบบ Super Licence แต่มีข้อมูลนักแข่งร่วมกัน
รองรับการอัปโหลดเอกสารสำคัญ เช่น พาสปอร์ตและประวัติการแข่งขัน
คำเตือนสำหรับองค์กรที่ใช้ระบบออนไลน์
การไม่ตรวจสอบสิทธิ์ใน API อาจเปิดช่องให้เกิด privilege escalation
การใช้ HTTP PUT โดยไม่มีการกรองข้อมูล อาจทำให้เกิด mass assignment
ข้อมูลส่วนตัวของบุคคลสำคัญอาจถูกเข้าถึงได้โดยไม่ได้รับอนุญาต
คำแนะนำเพิ่มเติม
ควรตรวจสอบการใช้งาน API ทุกจุดที่มีการอัปเดตข้อมูล
หลีกเลี่ยงการเปิดให้ผู้ใช้แนบข้อมูลที่ควบคุมสิทธิ์ได้เอง
ควรมีระบบแจ้งเตือนและตรวจสอบการเปลี่ยนแปลงสิทธิ์แบบ real-time
https://ian.sh/fia
ในโลกของ Formula 1 ที่เต็มไปด้วยเทคโนโลยีและความเร็ว มีอีกด้านหนึ่งที่ไม่ค่อยถูกพูดถึง—ด้านความปลอดภัยไซเบอร์ ล่าสุดนักวิจัยด้านความปลอดภัย Ian Carroll, Sam Curry และ Gal Nagli ได้เปิดเผยช่องโหว่ร้ายแรงในระบบ Driver Categorisation ของ FIA ซึ่งทำให้สามารถเข้าถึงข้อมูลส่วนตัวของนักแข่ง F1 ได้ รวมถึงพาสปอร์ตและข้อมูลของ Max Verstappen!
ช่องโหว่นี้เกิดจากการออกแบบ API ที่ไม่ปลอดภัย โดยระบบอนุญาตให้ผู้ใช้ส่ง HTTP PUT request เพื่ออัปเดตโปรไฟล์ของตนเอง แต่กลับไม่มีการตรวจสอบสิทธิ์อย่างเหมาะสม ทำให้นักวิจัยสามารถแนบข้อมูล “roles” เพื่อยกระดับสิทธิ์เป็น “ADMIN” ได้สำเร็จ เมื่อเข้าสู่ระบบใหม่ พวกเขาก็สามารถเข้าถึง dashboard สำหรับผู้ดูแลระบบ ซึ่งเปิดให้ดูข้อมูลลับของนักแข่งทุกคน
ข้อมูลที่สามารถเข้าถึงได้รวมถึง hash ของรหัสผ่าน, อีเมล, เบอร์โทรศัพท์, พาสปอร์ต, ประวัติการแข่งขัน และแม้แต่การตัดสินภายในของคณะกรรมการ FIA นักวิจัยยืนยันว่าไม่ได้ดาวน์โหลดหรือเก็บข้อมูลใดๆ และได้แจ้งเตือน FIA ตั้งแต่เดือนมิถุนายน 2025 ซึ่งทาง FIA ได้ตอบรับและแก้ไขระบบแล้ว
ช่องโหว่ที่ค้นพบ
อยู่ในระบบ Driver Categorisation ของ FIA
ใช้ HTTP PUT request เพื่ออัปเดตโปรไฟล์โดยไม่มีการตรวจสอบสิทธิ์
สามารถแนบ “roles” เพื่อยกระดับสิทธิ์เป็น ADMIN ได้
ข้อมูลที่สามารถเข้าถึงได้
พาสปอร์ต, อีเมล, เบอร์โทรศัพท์, hash ของรหัสผ่าน
ประวัติการแข่งขันและเอกสารประกอบ
ข้อมูลการตัดสินภายในของคณะกรรมการ FIA
นักวิจัยที่ค้นพบ
Ian Carroll, Sam Curry, Gal Nagli
ได้แจ้งเตือน FIA ตั้งแต่วันที่ 3 มิถุนายน 2025
FIA ตอบรับและแก้ไขระบบภายใน 1 สัปดาห์
ความสำคัญของระบบ Driver Categorisation
ใช้จัดระดับนักแข่งเป็น Bronze/Silver/Gold/Platinum
แยกจากระบบ Super Licence แต่มีข้อมูลนักแข่งร่วมกัน
รองรับการอัปโหลดเอกสารสำคัญ เช่น พาสปอร์ตและประวัติการแข่งขัน
คำเตือนสำหรับองค์กรที่ใช้ระบบออนไลน์
การไม่ตรวจสอบสิทธิ์ใน API อาจเปิดช่องให้เกิด privilege escalation
การใช้ HTTP PUT โดยไม่มีการกรองข้อมูล อาจทำให้เกิด mass assignment
ข้อมูลส่วนตัวของบุคคลสำคัญอาจถูกเข้าถึงได้โดยไม่ได้รับอนุญาต
คำแนะนำเพิ่มเติม
ควรตรวจสอบการใช้งาน API ทุกจุดที่มีการอัปเดตข้อมูล
หลีกเลี่ยงการเปิดให้ผู้ใช้แนบข้อมูลที่ควบคุมสิทธิ์ได้เอง
ควรมีระบบแจ้งเตือนและตรวจสอบการเปลี่ยนแปลงสิทธิ์แบบ real-time
https://ian.sh/fia
🏎️ เจาะระบบ FIA: นักวิจัยเผยช่องโหว่ที่เข้าถึงข้อมูลลับของนักแข่ง F1 รวมถึง Max Verstappen
ในโลกของ Formula 1 ที่เต็มไปด้วยเทคโนโลยีและความเร็ว มีอีกด้านหนึ่งที่ไม่ค่อยถูกพูดถึง—ด้านความปลอดภัยไซเบอร์ ล่าสุดนักวิจัยด้านความปลอดภัย Ian Carroll, Sam Curry และ Gal Nagli ได้เปิดเผยช่องโหว่ร้ายแรงในระบบ Driver Categorisation ของ FIA ซึ่งทำให้สามารถเข้าถึงข้อมูลส่วนตัวของนักแข่ง F1 ได้ รวมถึงพาสปอร์ตและข้อมูลของ Max Verstappen!
ช่องโหว่นี้เกิดจากการออกแบบ API ที่ไม่ปลอดภัย โดยระบบอนุญาตให้ผู้ใช้ส่ง HTTP PUT request เพื่ออัปเดตโปรไฟล์ของตนเอง แต่กลับไม่มีการตรวจสอบสิทธิ์อย่างเหมาะสม ทำให้นักวิจัยสามารถแนบข้อมูล “roles” เพื่อยกระดับสิทธิ์เป็น “ADMIN” ได้สำเร็จ เมื่อเข้าสู่ระบบใหม่ พวกเขาก็สามารถเข้าถึง dashboard สำหรับผู้ดูแลระบบ ซึ่งเปิดให้ดูข้อมูลลับของนักแข่งทุกคน
ข้อมูลที่สามารถเข้าถึงได้รวมถึง hash ของรหัสผ่าน, อีเมล, เบอร์โทรศัพท์, พาสปอร์ต, ประวัติการแข่งขัน และแม้แต่การตัดสินภายในของคณะกรรมการ FIA นักวิจัยยืนยันว่าไม่ได้ดาวน์โหลดหรือเก็บข้อมูลใดๆ และได้แจ้งเตือน FIA ตั้งแต่เดือนมิถุนายน 2025 ซึ่งทาง FIA ได้ตอบรับและแก้ไขระบบแล้ว
✅ ช่องโหว่ที่ค้นพบ
➡️ อยู่ในระบบ Driver Categorisation ของ FIA
➡️ ใช้ HTTP PUT request เพื่ออัปเดตโปรไฟล์โดยไม่มีการตรวจสอบสิทธิ์
➡️ สามารถแนบ “roles” เพื่อยกระดับสิทธิ์เป็น ADMIN ได้
✅ ข้อมูลที่สามารถเข้าถึงได้
➡️ พาสปอร์ต, อีเมล, เบอร์โทรศัพท์, hash ของรหัสผ่าน
➡️ ประวัติการแข่งขันและเอกสารประกอบ
➡️ ข้อมูลการตัดสินภายในของคณะกรรมการ FIA
✅ นักวิจัยที่ค้นพบ
➡️ Ian Carroll, Sam Curry, Gal Nagli
➡️ ได้แจ้งเตือน FIA ตั้งแต่วันที่ 3 มิถุนายน 2025
➡️ FIA ตอบรับและแก้ไขระบบภายใน 1 สัปดาห์
✅ ความสำคัญของระบบ Driver Categorisation
➡️ ใช้จัดระดับนักแข่งเป็น Bronze/Silver/Gold/Platinum
➡️ แยกจากระบบ Super Licence แต่มีข้อมูลนักแข่งร่วมกัน
➡️ รองรับการอัปโหลดเอกสารสำคัญ เช่น พาสปอร์ตและประวัติการแข่งขัน
‼️ คำเตือนสำหรับองค์กรที่ใช้ระบบออนไลน์
⛔ การไม่ตรวจสอบสิทธิ์ใน API อาจเปิดช่องให้เกิด privilege escalation
⛔ การใช้ HTTP PUT โดยไม่มีการกรองข้อมูล อาจทำให้เกิด mass assignment
⛔ ข้อมูลส่วนตัวของบุคคลสำคัญอาจถูกเข้าถึงได้โดยไม่ได้รับอนุญาต
‼️ คำแนะนำเพิ่มเติม
⛔ ควรตรวจสอบการใช้งาน API ทุกจุดที่มีการอัปเดตข้อมูล
⛔ หลีกเลี่ยงการเปิดให้ผู้ใช้แนบข้อมูลที่ควบคุมสิทธิ์ได้เอง
⛔ ควรมีระบบแจ้งเตือนและตรวจสอบการเปลี่ยนแปลงสิทธิ์แบบ real-time
https://ian.sh/fia
0 Comments
0 Shares
38 Views
0 Reviews
Thai