质量分配漏洞泄露了马克斯·维斯塔潘的护照和F1车手的个人身份信息。

Accessing Max Verstappen's passport and PII through FIA bugs

原始链接: https://ian.sh/fia

## F1车手数据在FIA网站被黑 受制于一级方程式赛事日益增长的网络安全关注，研究人员Gal Nagli、Sam Curry和作者调查了支持网站中的漏洞。他们的调查发现FIA的drivercategorisation.fia.com门户网站存在一个关键缺陷——该系统用于管理车手等级（青铜到白金）和超级驾照资格。 通过一个简单的HTTP PUT请求，该团队能够利用批量赋值漏洞，将他们的用户权限提升到管理员级别。这使得他们可以完全访问网站的管理仪表盘，并泄露敏感数据，包括车手护照扫描件、简历、执照信息、密码哈希和内部FIA通讯。 研究人员在发现可以访问马克斯·维斯塔潘的个人信息后，立即停止了测试，认识到此次漏洞的严重性。他们于2025年3月6日立即向FIA披露了该漏洞，促使该网站被下线。FIA于2025年6月10日确认已修复该漏洞，此次披露遵循协调的发布时间表。此事件凸显了处理高知名人士和组织敏感数据的系统中的重大安全问题。