FIA açığı üzerinden Max Verstappen'in pasaportu ve kişisel kimlik bilgilerine erişilmesi vakası

 (ian.sh)
1 puan yazan GN⁺ 2025-10-23 | 1 yorum | WhatsApp'ta paylaş
  • Güvenlik araştırmacıları, FIA'nın sürücü sınıflandırma web sitesindeki bir zafiyet üzerinden F1 sürücülerinin hassas bilgilerine erişilebildiğini keşfetti
  • Söz konusu sistem, FIA Super Licence'dan ayrı çalışıyor ve sürücülerin kendi derecelerine (Bronz/Gümüş/Altın/Platin) başvurabildiği veya bunları yenileyebildiği bir portal niteliğinde
  • Araştırmacılar, HTTP PUT isteğindeki mass assignment zafiyetini kullanarak yönetici yetkisi elde etti ve iç dashboard'a erişti
  • Böylece pasaport, e-posta, telefon numarası, parola hash'leri, özgeçmişler ve diğer PII dahil tüm sürücü verileri görüntülenebildi
  • Bu olay, spor endüstrisinin dijitalleşmesiyle birlikte güvenlik yönetiminin öneminin arttığını gösteren çarpıcı bir örnek

Arka plan: F1 ile siber güvenliğin kesişimi

  • Son yıllarda güvenlik startup'ları ve venture capital yatırımlarındaki artış nedeniyle, önemli networking etkinlikleri F1 Grand Prix merkezli yapılma eğiliminde
    • CrowdStrike, Darktrace gibi şirketler takım sponsorluğu için milyonlarca dolar yatırıyor
    • Bitdefender, resmi bir siber güvenlik ortaklığı kurarak yarış takımının güvenliğini üstleniyor
  • Araştırmacılar Gal Nagli, Sam Curry ve Ian Carroll bu etkinliklere katılırken F1 ile ilgili destek web sitelerindeki güvenlik açıklarını araştırmayı denedi
  • Bu blog yazısı, üç bölümlük serinin ilki olarak F1 ile ilgili sistemlerde bulunan ilk zafiyeti ele alıyor

FIA sürücü sınıflandırma sistemine genel bakış

  • F1 sürücülerinin FIA Super Licence sahibi olması gerekiyor; bu lisans her yıl ülkelerin motor sporları birlikleri (ASN) üzerinden veriliyor
    • Belirli puan, yaş, tıbbi ve yazılı sınav gerekliliklerinin karşılanması gerekiyor
  • FIA ayrıca sürücülerin derecelerini (Bronz~Platin) yönetmek için Driver Categorisation sistemi (drivercategorisation.fia.com) işletiyor
    • Bu portal açık öz kayıt destekliyor ve başvuranların derece başvurularıyla birlikte kimlik belgesi, kariyer özgeçmişi gibi belgeleri yüklemesini istiyor
    • Super Licence sahiplerine otomatik olarak Platin derecesi veriliyor

Zafiyetin keşif süreci

  • Araştırmacılar hesap oluşturduktan sonra profili düzenleyen HTTP PUT isteğini gözlemledi
    • İstek basitti ancak yanıt JSON'unda roles, birthDate, status gibi ek alanlar da yer alıyordu
  • JavaScript kodunu analiz ettiklerinde, sitede sürücü, FIA çalışanı, yönetici (admin) gibi birden fazla rol bulunduğunu doğruladı
  • Ardından roles alanının sunucu doğrulaması olmadan güncellenip güncellenemeyeceğini test etmek için yönetici rolünü içeren bir PUT isteği gönderdi

Yönetici yetkisi elde edilmesi

  • İstek örneği şöyleydi
    • "roles": [{"id": 1, "description": "ADMIN role", "name": "ADMIN"}]
  • Sunucu bunu normal şekilde işledi ve yanıt JSON'unda ADMIN rolü atanmış halde döndü
  • Yeniden kimlik doğrulayıp giriş yaptıklarında FIA yönetici dashboard'u görüntülendi; sürücü sınıflandırması, çalışan yönetimi, e-posta şablonu düzenleme gibi sunucu tarafındaki tüm işlevlere erişim mümkün hale geldi

Hassas bilgilere erişim ihtimali

  • Yönetici yetkisiyle sürücü profilleri incelendiğinde şu bilgiler açığa çıkıyordu
    • Parola hash'leri, e-posta adresleri, telefon numaraları, pasaport kopyaları, özgeçmişler ve kişisel tanımlayıcı bilgiler (PII)
    • Sürücü değerlendirmelerine ilişkin iç yorumlar ve komite karar kayıtları
  • Araştırmacılar test sırasında Max Verstappen'in pasaportuna, lisansına ve PII verilerine erişilebildiğini doğruladı; ancak bunları fiilen görüntülemediklerini veya kaydetmediklerini özellikle belirtti
  • Tüm test verileri hemen silindi ve daha fazla sızma çalışması durduruldu

Açığın bildirilmesi ve müdahale

  • 3 Haziran 2025: FIA'ya e-posta ve LinkedIn üzerinden ilk bildirim yapıldı
  • Aynı gün FIA, siteyi çevrimdışı duruma aldı
  • 10 Haziran 2025: FIA, kapsamlı düzeltmenin tamamlandığını resmi olarak bildirdi
  • 22 Ekim 2025: Blog yazısı yayımlandı ve kamuya açık raporlama yapıldı

Çıkarımlar

  • Bu vaka, basit bir mass assignment zafiyetinin ileri düzey güvenlik sistemlerinde bile ortaya çıkabileceğini gösteriyor
  • Spor endüstrisinin dijitalleşmesi hızlandıkça kişisel verilerin korunması ve erişim kontrolünün güçlendirilmesi ihtiyacı da büyüyor
  • Özellikle FIA gibi uluslararası kurumlarda API tasarımı ve yetki doğrulama mantığı için düzenli güvenlik denetimleri kritik önem taşıyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-10-23
Hacker News görüşleri

  • Bu, tek bir zafiyet değil, birden fazla güvenlik hatasının toplamı
    Örneğin, başvuru sahiplerinin belgelerini amaç yerine getirildikten sonra da canlı sunucuda tutmak hiç gerekli değil
    Bu durum, blast radius (etki alanı) en aza indirme ilkesine de aykırı
    Böyle bir durumda ömür boyu ücretsiz bilet vermeleri gerekir

    • Kural 1: Kullanıcı girdisi verisine asla güvenme
      Bu kural bozulduğu anda, diğer tüm kuralların da çökmesi an meselesidir

  • Ian, siteye bir RSS feed eklersen düzenli abone sayısı daha da artabilir

    • Ian gerçekten iyi yazan biri
    • Ben de bu görüşe katılıyorum

  • Bildirimin yapıldığı gün sitenin hemen çevrimdışı alınması şaşırtıcı
    Böyle bir müdahale hızı pek sık görülmez

    • Evet, düzeltme de oldukça hızlıydı
      Bu ölçekte bir şirketin bu kadar hızlı hareket etmesi nadirdir

  • Bu gerçekten utanılacak kadar kötü bir güvenlik seviyesi

    • Buna güvenlik demek bile zor, sistem resmen tamamen açıktı
      Yine de böyle şeyleri görünce benim impostor sendromum biraz hafifliyor
    • Parti videosunu da izlersen daha da şaşırırsın

  • Böyle bir durumda keşke yazarlara birer F1 Super Licence verselerdi de arabayı kendileri kullansalardı

    • Keşke olan biten sadece bundan ibaret olsaydı

  • Böyle bir güvenlik araştırması yaparken hiç yasal tehdit aldılar mı diye merak ediyorum
    Bug bounty programı olmayan yerlerde bile ödül teklif edildi mi, onu da merak ediyorum

    • Bu tür davranışlar hukuken riskli olabilir
      Sektörde hem yeteneksiz hem de sorumluluk sahibi olmayan birçok insan var
      Bu insanlar için güvenlik bildirimi doğrudan “uğraştırıcı bir iş” anlamına geldiğinden, sorumluluktan kaçmak için bildirimi yapan kişiyi suçlama ya da yasal işlem başlatma yönünde teşvik oluşuyor
      Bu yüzden anonim kalmak en güvenlisi. Sonradan istersen kimliğini açıklayabilirsin
    • Almanya’daki “Modern Solution” davası bunun en bilinen örneği
      Bir BT mühendisi bir parolayı bulup phpMyAdmin erişiminin mümkün olduğunu bildirdi, şirket de onu dava etti ve en yüksek mahkemeye kadar gidilip şirket davayı kazandı
      İlgili haber (Heise)
    • Blogda açıklandığı gibi, yönetici yetkisine yükseltme girişimi hukuken gri bir alan
      Bu tür şeylere genelde ancak resmî bir red team testi veya sızma testi sözleşmesi kapsamında izin verilir
      Sonradan “etikti” demek yeterli değildir
    • Gerçek yasal tehditler nadir olsa da, bazı şirketler “retroaktif bug bounty” adı altında rüşvet teklif edebiliyor
      Bu tür teklifler mutlaka reddedilmeli
    • Üniversite yıllarında bir zafiyeti bildirdiğimde şirket yasal tehditte bulunmuştu, ama hocam sert şekilde itiraz edince geri çektiler
      Sonraki 8 yılda böyle bir şey yaşanmadı
      Günümüzde şirketler bu tür faaliyetleri geçmişe kıyasla daha iyi anlıyor

  • Benim en sevdiğim hack yöntemi JS okuyup PUT isteğini değiştirmek
    Düşündüğünüzden daha sık işe yarıyor

  • Eski şirket, eski güvenlik demektir
    RD iyi iş çıkarmış ama bu hiç şaşırtıcı değil
    Hash’in büyük ihtimalle MD5 olduğuna neredeyse eminim

    • Hangi hash algoritmasının kullanıldığını merak ediyorum
    • F1 sitesi için “move fast and break things” tam oturuyor
      xkcd 1428 akla geliyor

  • Garip olan şu ki, siteyi işleten kişi Ian Carroll, ama örnekte ünlü bug bounty avcısı Sam Curry yer alıyor

    • Gönderiye göre Gal Nagli, Sam Curry ve Ian, F1 ile ilgili siteleri birlikte hacklemeyi denemiş
    • Ian’ın diğer yazılarına bakınca bu kişilerin sık sık iş birliği yaptığını görmek mümkün