F1ドライバーの情報を管理するFIAのシステムの脆弱性を突きマックス・フェルスタッペンの個人情報にアクセスした記録

バグ報奨金プログラムに関連するセキュリティ研究などを行っているイアン・キャロル氏が、F1のサポートサイトをハッキングして、2021年から2024年まで4年連続でワールドチャンピオンになったドライバーであるマックス・フェルスタッペン氏の個人情報にアクセス可能な状態だったことを報告しています。なお、キャロル氏は情報は取得せず、脆弱性についてF1を統括している国際自動車連盟(FIA)に連絡していて、当該脆弱性はすでに対応済みです。

Hacking Formula 1: Accessing Max Verstappen's passport and PII through FIA bugs
https://ian.sh/fia

キャロル氏はフライト検索サービス・seats.aeroの創業者で、仕事のほかに、バグ報奨金や交通機関、その他の興味深い分野についてのセキュリティ研究を行っているとのこと。

ian carroll
https://ian.sh/

F1ドライバーがレースに出るためには「FIAスーパーライセンス」が必要です。FIAスーパーライセンスは毎年、ドライバーの出身国のモータースポーツ当局を通じて発行されるもので、発行にはライセンスポイントをレースで得る必要があるほか、年齢制限があり、書類審査もあります。

また、F1ドライバーはブロンズ・シルバー・ゴールド・プラチナの4段階のドライバーズカテゴリに分類されていて、スーパーライセンスとは別の仕組みですが、FIAポータルを通じて管理されていて、アクティブなスーパーライセンスを保有すると自動的にプラチナステータスが与えられます。

キャロル氏によると、ドライバーズカテゴリのシステムにはメールとパスワードを用いてアカウントを作成することが可能だとのこと。カテゴリ分けを受けるためには身分証明証やドライバーとしての実績などをアップロードする必要がありますが、キャロル氏はユーザープロファイル更新のために使用される、非常に単純なHTTP PUTリクエストの存在を発見。

リクエスト自体には興味深い中身はなかったものの、レスポンスで返ってきたJSONには「ID」「メールアドレス」「姓」「名」「名前をプライベート状態にするか」「ニックネーム」「誕生日」「性別」「トークン」「役割」「国」「フィルター」「ステータス」「サブメールアドレス」といった、余分な値が含まれていたとのこと。

「役割(roles)」が含まれていたことから、権限昇格の可能性があると考えたキャロル氏は、JavaScriptを調べて関連するロジックがないかを調査し、ドライバーやFIAスタッフ、サイト管理者が使用することを目的とした「役割」があることを突き止めました。当然、最重要な役割は「管理者(admin)」であると推測できるためにPUTリクエスト内のフォーマットを推測して、キャロル氏がadminとしてのリクエストを送信したところ予測通りに動作し、サイト管理者の役割を得ることに成功しました。

セッション更新のため、再認証してログインするとキャロル氏はサイト管理者用の全く異なるダッシュボードに到達。調査結果を検証するためにドライバーのプロファイルを読み込むと、パスワードハッシュやメールアドレス、電話番号、パスポート、履歴書などの個人識別用情報(PII)が確認できたとのこと。

以下はキャロル氏が示したスクリーンショットで、フェルスタッペン氏の情報が取得できる状態であることがわかります。

キャロル氏はこの脆弱性について、メールとLinkedIn経由でFIAに対して情報を伝達。キャロル氏から連絡を受けたFIAはただちにサイトをオフライン化し、対策を施しました。キャロル氏は個人情報は一切手元に取得せず、テストに用いた情報はすべて破棄したと述べています。

なお、キャロル氏によると、この事例はFIAの抱えていた脆弱性の1つにすぎないとのことです。