江苏
关键词
数据泄露
F1 管理机构国际汽联(FIA)近日被曝出其车手分级网站存在严重安全漏洞,导致所有 F1 车手的个人身份信息一度可被任意访问。该问题现已修复,但事件暴露了这一关键门户在访问控制上的重大失误。
漏洞最初出现在 FIA 的车手分级门户网站上。由于每年所有车手都需通过该平台更新超级驾照信息,该网站对公众开放,任何人都可注册账户。安全研究人员在创建账户后发现,当修改个人资料时,服务器返回的信息超出了他们提交的字段,不仅包含姓名和邮箱,还泄露出生日期及一个关键参数——“role”(角色)。
该字段用于定义账户权限,如“车手”“FIA 员工”或“管理员”。研究人员发现系统未对该字段进行访问限制,便通过一次常见的“大规模分配”(Mass Assignment)漏洞,在更新请求中手动将自己的角色改为“admin”。这一简单的参数篡改便直接赋予他们管理员权限。
获得系统最高权限后,研究人员能够查看全部车手的注册信息与文件,包括护照扫描件、联系方式及超级驾照申请资料,甚至还可浏览 FIA 内部关于驾照审批的通信记录。换言之,整个后台系统的核心数据在当时完全暴露。
FIA 随后发表声明称,他们在夏季已发现该安全事件并采取措施保护数据,同时按要求通知了监管机构和受影响的车手。目前尚无迹象显示该漏洞被不法分子滥用,漏洞现已被完全修复。
参与此次漏洞发现的研究人员 Ian Carroll、Gal Nagli 与 Sam Curry 表示,事件再次提醒各机构在设计 Web API 时应严格限制字段权限,防止客户端数据可直接操控服务端敏感字段。
据科技媒体 TechRadar 报道,此次事件影响范围涵盖全部现役 F1 车手及部分团队关联账户,是 FIA 近年最严重的网络安全事件之一。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
