Kasus akses ke paspor dan informasi identitas pribadi Max Verstappen melalui bug FIA

 (ian.sh)
1 poin oleh GN⁺ 2025-10-23 | 1 komentar | Bagikan ke WhatsApp
  • Para peneliti keamanan menemukan bahwa mereka dapat mengakses informasi sensitif para pembalap F1 melalui kerentanan pada situs web klasifikasi pembalap FIA
  • Sistem tersebut dioperasikan terpisah dari FIA Super Licence dan merupakan portal tempat pembalap dapat mengajukan atau memperbarui peringkat mereka (Bronze/Silver/Gold/Platinum)
  • Para peneliti memperoleh hak administrator dan mengakses dasbor internal dengan memanfaatkan kerentanan mass assignment pada permintaan HTTP PUT
  • Dengan ini, mereka dapat melihat data seluruh pembalap, termasuk PII seperti paspor, email, nomor telepon, hash kata sandi, dan resume
  • Kasus ini menjadi contoh penting yang menunjukkan bahwa pentingnya pengelolaan keamanan semakin besar seiring digitalisasi industri olahraga

Latar belakang: titik temu F1 dan keamanan siber

  • Dalam beberapa tahun terakhir, seiring meningkatnya startup keamanan dan investasi modal ventura, acara networking utama makin sering berpusat pada Grand Prix F1
    • CrowdStrike, Darktrace, dan lainnya menginvestasikan jutaan dolar sebagai sponsor tim
    • Bitdefender menjalin kemitraan keamanan siber resmi dan menangani keamanan tim balap
  • Peneliti Gal Nagli, Sam Curry, dan Ian Carroll menghadiri acara-acara ini sambil mencoba menelusuri kerentanan keamanan pada situs pendukung terkait F1
  • Blog ini adalah bagian pertama dari trilogi, yang membahas kerentanan pertama yang ditemukan pada sistem terkait F1

Gambaran sistem klasifikasi pembalap FIA

  • Pembalap F1 harus memiliki FIA Super Licence, yang diterbitkan setiap tahun melalui asosiasi motorsport nasional masing-masing (ASN)
    • Mereka harus memenuhi persyaratan poin, usia, medis, dan ujian tertulis tertentu
  • FIA juga secara terpisah mengoperasikan sistem Driver Categorisation (drivercategorisation.fia.com) untuk mengelola peringkat pembalap (Bronze hingga Platinum)
    • Portal ini mendukung pendaftaran mandiri publik, dan peserta harus mengunggah formulir pengajuan peringkat mereka beserta dokumen identitas dan riwayat karier
    • Pemegang Super Licence otomatis diberi peringkat Platinum

Proses penemuan kerentanan

  • Setelah membuat akun, para peneliti mengamati permintaan HTTP PUT saat mengubah profil
    • Permintaannya sendiri sederhana, tetapi JSON respons mencakup field tambahan seperti roles, birthDate, dan status
  • Dari analisis kode JavaScript, mereka memastikan bahwa situs memiliki beberapa peran seperti pembalap, staf FIA, dan administrator (admin)
  • Para peneliti kemudian menguji apakah field roles dapat diperbarui tanpa validasi server dengan mengirim permintaan PUT yang menyertakan peran administrator

Mendapatkan hak administrator

  • Contoh permintaannya sebagai berikut
    • "roles": [{"id": 1, "description": "ADMIN role", "name": "ADMIN"}]
  • Server memprosesnya tanpa masalah, dan pada JSON respons peran ADMIN terlihat telah diberikan
  • Setelah login ulang, dasbor administrator FIA ditampilkan, dan mereka dapat mengakses seluruh fungsi sisi server seperti klasifikasi pembalap, pengelolaan staf, dan pengubahan template email

Potensi akses ke informasi sensitif

  • Saat membuka profil pembalap dengan hak administrator, informasi berikut terekspos
    • Hash kata sandi, email, nomor telepon, salinan paspor, resume, dan informasi identitas pribadi (PII)
    • Komentar internal terkait evaluasi pembalap dan catatan keputusan komite
  • Para peneliti menyatakan bahwa selama pengujian mereka mengonfirmasi kemungkinan akses ke paspor, lisensi, dan PII milik Max Verstappen, tetapi tidak benar-benar melihat atau menyimpannya
  • Semua data pengujian segera dihapus, dan penetrasi lebih lanjut dihentikan

Pengungkapan kerentanan dan respons

  • 3 Juni 2025: laporan awal dikirim ke FIA melalui email dan LinkedIn
  • Pada hari yang sama, FIA membuat situs offline
  • 10 Juni 2025: FIA secara resmi memberi tahu bahwa perbaikan menyeluruh telah selesai
  • 22 Oktober 2025: blog dipublikasikan dan laporan publik dirilis

Implikasi

  • Ini adalah contoh yang menunjukkan bahwa kerentanan mass assignment yang sederhana pun dapat terjadi pada sistem dengan tingkat keamanan tinggi
  • Seiring percepatan digitalisasi industri olahraga, kebutuhan untuk memperkuat perlindungan data pribadi dan kontrol akses semakin besar
  • Khususnya bagi lembaga internasional seperti FIA, pemeriksaan keamanan rutin terhadap desain API dan logika verifikasi otorisasi sangat penting

Bacaan terkait

1 komentar

 
GN⁺ 2025-10-23
Opini Hacker News

  • Ini bukan sekadar satu celah, melainkan kumpulan berbagai kegagalan keamanan
    Misalnya, sama sekali tidak perlu menyimpan dokumen pelamar di server produksi setelah tujuannya tercapai
    Ini juga bertentangan dengan prinsip meminimalkan blast radius (cakupan dampak)
    Dalam situasi seperti ini, rasanya mereka pantas dapat tiket gratis seumur hidup

    • Aturan 1: jangan pernah memercayai data input pengguna
      Begitu aturan ini dilanggar, tinggal soal waktu sebelum semua aturan lain ikut runtuh

  • Ian, kalau situsnya ditambahkan RSS feed, sepertinya pelanggan tetapnya akan makin banyak

    • Ian benar-benar pandai menulis
    • Saya juga setuju dengan pendapat ini

  • Mengejutkan bahwa pada hari laporan masuk, situsnya langsung diturunkan ke offline
    Kecepatan respons seperti ini jarang terlihat

    • Benar, perbaikannya juga cukup cepat
      Jarang ada perusahaan sebesar ini bergerak secepat itu

  • Ini benar-benar tingkat keamanan yang memalukan dan sangat buruk

    • Bahkan rasanya malu kalau ini disebut keamanan; sistemnya benar-benar terbuka lebar
      Meski begitu, melihat hal seperti ini membuat sindrom impostor saya sedikit berkurang
    • Kalau lihat video pestanya, kamu bakal lebih kaget lagi

  • Dalam situasi seperti ini, rasanya penulisnya seharusnya diberi F1 Super Licence saja supaya bisa langsung menyetir mobilnya

    • Andai cuma itu saja yang terjadi, alangkah bagusnya

  • Saya penasaran apakah pernah ada yang mendapat ancaman hukum saat melakukan penelusuran keamanan seperti ini
    Juga penasaran apakah pernah ada yang ditawari imbalan meski tempat tersebut tidak punya program bug bounty

    • Tindakan seperti ini bisa berisiko secara hukum
      Di industri ini banyak orang yang tidak kompeten dan tidak bertanggung jawab
      Bagi orang seperti itu, laporan keamanan hanya dianggap sebagai ‘urusan merepotkan’, sehingga mereka terdorong menyalahkan pelapor atau mengambil langkah hukum demi menghindari tanggung jawab
      Karena itu, bergerak secara anonim adalah yang paling aman. Kalau nanti mau, identitas tetap bisa diungkapkan
    • Kasus “Modern Solution” di Jerman adalah contoh yang mewakili
      Seorang insinyur TI menemukan kata sandi dan melaporkan kemungkinan akses ke phpMyAdmin, tetapi perusahaan menuntutnya, dan hingga ke mahkamah tertinggi perusahaanlah yang menang
      Artikel terkait (Heise)
    • Seperti dijelaskan di blog, upaya eskalasi hak administrator secara hukum berada di area abu-abu
      Hal seperti ini biasanya hanya diizinkan dalam pengujian red team resmi atau kontrak uji penetrasi
      Mengklaim setelah kejadian bahwa itu “etis” tidaklah cukup
    • Ancaman hukum nyata memang jarang, tetapi beberapa perusahaan kadang menawarkan suap dengan dalih ‘bug bounty retroaktif’
      Tawaran seperti ini harus selalu ditolak
    • Saat kuliah, saya pernah melaporkan celah dan perusahaan mengancam dengan langkah hukum, tetapi setelah profesor saya memprotes keras, ancaman itu ditarik
      Setelah itu, selama 8 tahun tidak ada kejadian seperti itu lagi
      Belakangan ini suasananya memang lebih condong ke arah perusahaan yang lebih memahami aktivitas seperti ini dibanding dulu

  • Cara meretas favorit saya adalah membaca JS lalu memodifikasi permintaan PUT
    Lebih sering berhasil daripada yang dibayangkan

  • Perusahaan lama punya keamanan lama
    RD melakukannya dengan baik, tetapi sama sekali tidak mengejutkan
    Saya hampir yakin hash-nya itu MD5

    • Saya penasaran algoritme hash apa yang dipakai
    • Untuk situs F1, ungkapan “move fast and break things” terasa sangat cocok
      Mengingatkan pada xkcd 1428

  • Yang aneh, operator situsnya adalah Ian Carroll, tetapi di contoh justru muncul pemburu bug bounty terkenal Sam Curry

    • Menurut postingannya, Gal Nagli, Sam Curry, Ian memutuskan untuk mencoba meretas situs-situs terkait F1 bersama-sama
    • Kalau melihat tulisan Ian yang lain, terlihat bahwa mereka sering berkolaborasi