Ethische hackers kregen toegang tot paspoort Max Verstappen door bug bij FIA

Drie ethische hackers wisten toegang te krijgen tot de interne systemen van motorsportorganisatie FIA. Zij konden via een bug toegang krijgen tot de persoonsgegevens van F1-coureurs, waaronder die van Max Verstappen. De bug is inmiddels verholpen.

Ian Carroll, Gal Nagli en Sam Curry ontdekten het lek op de website waar coureurs een classificatie kunnen aanvragen bij de FIA, het bestuursorgaan voor motorsporten als de formule 1. Dat staat los van de superlicenties waarover F1-coureurs moeten beschikken, hoewel veel F1-coureurs ook een classificatie hebben, zodat ze ook buiten de formule 1 kunnen deelnemen aan races.

Gebruikers kunnen een account aanmaken op de website in kwestie en kunnen vervolgens een aanvraag doen bij de FIA. Normaal gesproken moeten gebruikers daar veel documenten invoeren, zoals identiteitsbewijzen en eerdere racedeelnames.

De drie ethische hackers ontdekten een HTTP PUT-verzoek, dat wordt gebruikt om het account van de gebruiker bij te werken. Daarin staat normaliter bijvoorbeeld het e-mailadres en de naam van de gebruiker, maar in een JSON-respons troffen ze méér waarden aan. Een van die waarden was de 'rol' van het account. De ethische hackers voegden daarop de titel 'admin' toe als rol van hun account.

Vervolgens konden ze opnieuw inloggen en kregen ze een nieuw dashboard te zien, waarin de gegevens van coureurs opgezocht konden worden. De hackers stopten met testen toen ze erachter kwamen dat ze de gegevens van Max Verstappen kon inzien, zoals zijn paspoort, cv, licentie, wachtwoordhash en persoonsgegevens, hoewel ze die niet daadwerkelijk hebben geopend.

Carroll heeft de FIA op 3 juni op de hoogte gesteld van het lek en kreeg diezelfde dag nog antwoord. Op 10 juni is de kwetsbaarheid gedicht. De ethische hackers hebben de details over de 'hack' eind oktober pas publiekelijk bekendgemaakt, dus ruim nadat het probleem was opgelost, zoals gebruikelijk bij responsible disclosure.

De FIA bevestigt tegenover PlanetF1 dat het bedrijf zich afgelopen zomer 'bewust is geworden van een cyberincident' rondom de classificatiewebsite. De organisatie zegt onmiddellijk maatregelen te hebben genomen en de relevante gegevensbeschermingsautoriteiten en 'een klein aantal coureurs' op de hoogte gesteld van het incident.

Ian Carroll FIA-lek
De hackers wisten ook de classificaties van coureurs in te zien, inclusief de redenen waarom de FIA tot haar besluit kwam. Bron: Ian Carroll

Door Daan van Monsjou

Nieuwsredacteur

Feedback • 23-10-2025 14:58
39 • submitter: neonite

23-10-2025 • 14:58

39

Submitter: neonite

Lees meer

Apple gaat exclusief F1-races uitzenden in de Verenigde Staten
Apple gaat exclusief F1-races uitzenden in de Verenigde Staten Nieuws van 17 oktober 2025
FT: Apple wil uitzendrechten formule 1 in de VS kopen
FT: Apple wil uitzendrechten formule 1 in de VS kopen Nieuws van 9 juli 2025
EA ontkent deal te hebben gesloten om F1-games te blijven maken
EA ontkent deal te hebben gesloten om F1-games te blijven maken Nieuws van 4 juni 2025
F1 TV Premium-jaarabo met 4k kost 143 euro in Nederland en 100 euro in België
F1 TV Premium-jaarabo met 4k kost 143 euro in Nederland en 100 euro in België Nieuws van 4 maart 2025
F1 TV bevestigt komst Premium-abo met 4k, maar voorlopig niet op Android
F1 TV bevestigt komst Premium-abo met 4k, maar voorlopig niet op Android Nieuws van 3 maart 2025
F1 TV is begonnen met testen van 4k-streams met hdr en hogere bitrate
F1 TV is begonnen met testen van 4k-streams met hdr en hogere bitrate Nieuws van 27 februari 2025
FIA is getroffen door een phishingaanval
FIA is getroffen door een phishingaanval Nieuws van 5 juli 2024
Viaplay krijgt rechten voor Formule 1 in Nederland voor vijf jaar
Viaplay krijgt rechten voor Formule 1 in Nederland voor vijf jaar Nieuws van 30 april 2024
Organisatie Spa Grand Prix waarschuwt voor phishing
Organisatie Spa Grand Prix waarschuwt voor phishing Nieuws van 18 maart 2024
Formule 1 wil AI gebruiken om te controleren of track limits overschreden worden
Formule 1 wil AI gebruiken om te controleren of track limits overschreden worden Nieuws van 23 november 2023
FIA presenteert richtlijnen voor elektrische GT-raceklasse met snellaadpitstops
FIA presenteert richtlijnen voor elektrische GT-raceklasse met snellaadpitstops Nieuws van 21 april 2021
Meer producten en artikelen
Beveiliging en antivirus Networking en security Formule 1 Hack

Reacties (39)

-Moderatie-faq
39
39
14
1
0
21
Wijzig sortering

Sorteer op:

Weergave:
RobertMe
23 oktober 2025 15:03
Ik wil dit geen bug noemen. Het is een grove nalatigheid dat een ongeauthoriseerde gebruiker zomaar "extra" velden kan meesturen in een API verzoek en deze verwerkt worden zonder dus enige vorm van controle op de rechten. (En vervolgens die extra velden niet eens "beschermd" zijn door security through obscurity maar altijd vermeld staan (/stonden?) in het verzoek om de (eigen) gegevens op te halen.)
Reageer
downtime @RobertMe23 oktober 2025 15:17
Ik sta er heel raar van te kijken dat zoiets in 2025 nog mogelijk is. Dit is toch wel een absolute beginnersfout.
Reageer
rvt1 @downtime23 oktober 2025 17:17
Ouse drupal 7 website… dat is dus PHP, een hele zooi PHP ontwikkelaars hebben nog niet zo heel veel kaas van beveiliging gegeten.

Ook PHP an zich moet je meer je best doen om dat veilig te krijgen, tov een Spring boot website waar je Algerije Security makkelijk in kunt hagen.
Reageer
Wolfos @rvt123 oktober 2025 18:03
Volgens mij is een mass assignment attack in heel veel frameworks en talen wel mogelijk, maar het is wel een hele onbenullige bug.
Reageer
B_FORCE @downtime23 oktober 2025 15:45
Ik sta er vooral van te kijken dat een organisatie en sport waar het om vele vele vele miljoenen euros/dollars gaat dit ZO simpel te misbruiken was.

Dat geeft je toch te denken hoe de rest in elkaar zit......
Reageer
airell @downtime23 oktober 2025 15:54
Ook in 2025 zijn er 'beginners' die gaan beginnen met ontwikkelen, net zoals in 2035 en 2045. Ergens mee 'beginnen' blijft van alle tijden. Het blijft altijd mogelijk om iets te bouwen wat achteraf 'niet zo handig' was.
Reageer
downtime @airell23 oktober 2025 16:15
Dat is geen excuus. Beginners moeten dit soort klussen niet aannemen. Dit is een fout vergelijkbaar met SQL injectie. Als je ook maar even voor je vak geleerd hebt, en het serieus neemt, dan ken je het probleem en ken je technieken om het te voorkomen.
Reageer
BCC @downtime23 oktober 2025 16:52
De OSWASP top 10 verandert elk jaar wel een beetje, maar Broken AccesControl en injection staan altijd wel in de top 5. Aangezien chatgpt nog php genereert met SQL injecties zijn we er nog lang niet vanaf.
Reageer
kodak
@downtime23 oktober 2025 20:00
Aangezien de wetgever duidelijk is dat er vanaf het begin behoorlijke bescherming hoort te worden toegepast zijn dit eerder een onprofessionele fouten te noemen. En de oorzaak dat het niet professioneel is lijkt dit nieuws indirect te tonen. Zelfs bij het ontdekken en verhelpen van ernstige fouten bij het beschermen van persoonlijke gegevens gaat het weer niet om de basisoorzaken en het verhelpen daarvan. Het gaat vooral om een specifiek gevolg kunnen vinden, hoe snel men dat verhelpt en of mogelijke slachtoffers geïnformeerd zijn.

Om basisoorzaken weg te nemen moet er professionele wil en kunde zijn om aantoonbaar te proberen te voorkomen de wet te overtreden. Die wil en kunde is er niet zomaar. Omdat iedereen zich professioneel ontwikkelaar kan noemen of als verantwoordelijke voor aanschaf, ontwikkeling en onderhoud in de praktijk de verantwoordelijkheid kan afschuiven zonder ook maar iets te leren van eerdere oorzaken. Want daar hebben onderzoekers, ontwikkelaars, verwerkers het vaak liever niet over. Wat dan weer een recht is.
Reageer
Finraziel @RobertMe23 oktober 2025 15:22
Dus je denkt dat iemand het met opzet gedaan heeft? Grove nalatigheid (even los van of dat zo is) betekent niet dat het geen bug is.
Reageer
Melantrix @Finraziel23 oktober 2025 15:37
Het is een kwetsbaarheid en geen bug. Een bug is een fout in de software die zich niet gedraagd zoals bedoelt. Dit is echter gemaakt zoals het bedoelt is, maar er is niet nagedacht over de implicaties. Dit kan misbruikt worden door een aanvaller.

Ik ben het daarom zeker eens met RoberMe, dit is geen bug. Dat impliceert dat dit een 'foutje bedankt' was, terwijl ze hier gewoon veel beter over hadden moeten nadenken en de implementatie veel veiliger hadden moeten maken.
Reageer
agile_tester @Melantrix23 oktober 2025 16:26
"A bug is something that bugs someone who matters"
~ Jerry Weinberg
Reageer
downtime @Melantrix23 oktober 2025 15:57
Elk onbedoeld effect is een bug. Ook dit. Dat er niet goed over nagedacht is, maakt niet dat het opeens geen bug meer is.
Reageer
rko4u @downtime23 oktober 2025 16:14
Wij hebben hier te maken met een verschil in interpretatie van wat een bug is. Een developer maakt graag verschil tussen een bug en een verkeerd gedesignde feature. Gezien we in dit geval niet praten over een technische, maar een functionele fout (namelijk de payload van een API), spreken developers hier liever over een design fout.

Daarmee zeggen we overigens niet dat een zelf respecterende developer dit design nooit zo gebouwd had.
Reageer
CH4OS @RobertMe23 oktober 2025 15:26
Ook ongeautoriseerd iets kunnen terwijl je dat niet verwacht, hoe basaal ook, is gewoon een bug, een fout in de software.

[Reactie gewijzigd door CH4OS op 23 oktober 2025 18:25]

Reageer
rko4u @CH4OS23 oktober 2025 16:22
Een bug is een fout in de software, maar niet iedere fout in de software is een bug.

Als jij een huis ontwerpt zonder deur, men bouwt het en er loopt een inbreker naar binnen en haalt het leeg, is dat geen bouwfout, maar een design fout. Natuurlijk hadden de bouwers je er op moeten attenderen dat een deur verstandig was geweest, maar zij hebben by design gebouwd, dus feitelijk is het niet hun fout.

Deze situatie is een duidelijk voorbeeld van het verschil tussen wat de klant vraagt en wat de klant wil. Natuurlijk wisten de developers dat dit niet was wat er gewenst was.
Reageer
CH4OS @rko4u23 oktober 2025 18:26
Mijn punt is dus dat het niet uitmaakt wie de fout heeft gemaakt, het is een ongewenste fout. Dat maakt dat het een bug in de software is. En of dat een fout van de ontwerper of de bouwer is, dat maakt echt niets uit, het is iets wat aangepast / gerepareerd moet worden.
Reageer
slijkie @RobertMe23 oktober 2025 16:13
Absoluut, dit is 100% geen bug maar gewoon een extreem slecht ontwerp van de API backend. Gewoon in elkaar geknutselt.
Reageer
Jron667 @slijkie23 oktober 2025 16:48
De backend zou de rol terug moeten geven, die zou in de API readonly moeten zijn.
Reageer
aikebah @Jron66723 oktober 2025 19:55
De backend zou de rol terug moeten geven, die zou in de API voor niet-admin users readonly moeten zijn.
FTFY
Reageer
aikebah @RobertMe23 oktober 2025 19:49
Wel een bug, en eentje die zo vaak voorkomt dat ie bovenaan staat in de OWASP Top 10 van 2021 (Broken Access Control), want een 'user' heeft ten ontechte het recht om zichzelf naast de rol van user ook de rol van admin aan te meten, terwijl logischerwijs alleen admin-users en/of rolemanager-users het recht hebben om de rol van een gebruiker aan te passen.

Gebruikers zouden op de 'wijzig gebruiker' API, waar het hier over gaat wel toegang mogen hebben voor het aanpassen van hun reguliere gegevens, maar niet op het wijzigen van het user-attribuut 'rol'.
Reageer
Goed gedaan 23 oktober 2025 15:02
Hopelijk een leuke vergoeding voor de hackers, de F1 zit opzich redelijk breed in het geld op het moment.
Reageer
Zwaai Haai @Goed gedaan23 oktober 2025 15:12
De FIA had natuurlijk zelf ook PEN testers of ethische hackers in kunnen huren. Tja, wat moet je ze dan betalen. Als ze van F1 houden kan de FIA vast wel iets leuks bedenken.

Maar hoe zit dit nu? Begrijp ik goed dat het in dit geval dus gewone hackers waren, niet ingehuurd door de FIA. En ze werden ethische hackers op het moment dat ze stopten met testen en de FIA informeerden?
Reageer
Finraziel @Zwaai Haai23 oktober 2025 15:24
Een ethische hacker, of white hat, kan wel ongevraagd proberen beveiligingen te breken, maar gaat niet verder dan nodig is om het lek aan te tonen. Ze gaan dus niet terwijl ze nog toegang hebben lekker even rondkijken of alle data binnen hengelen, dan ben je niet meer ethisch bezig.
Reageer
DrPoncho @Zwaai Haai23 oktober 2025 15:27
Ze waren voor dat punt al ethische hackers.
Reageer
MilanSxD @Zwaai Haai23 oktober 2025 15:30
Er zijn hackers die op eigen houtje PEN testen uitvoeren bij bedrijven, of gewoon per pure toeval iets ontdekken omdat ze vaak wat dieper kijken naar code en inlogsystemen, want dat is nu eenmaal hun ding.

Als zij dan iets ontdekken, dan melden ze dat bij de eigenaar van het geraakte systeem.
Hier krijgen zij soms voor betaald, en soms ook niet.

Echter zijn zij vaker bezig voor bedrijven die daar een Reward System voor hebben, zoals Samsung of Apple. Die hebben een standaard uitbetalingsprocedure voor Ethisch hackers die lekken en kwetsbaarheden vinden en dit melden.

Ze zijn ethisch omdat zij het lek niet eerst zelf uitbuiten voor ze het melden.
Ze melden het om te voorkomen dat blackhat hackers daar misbruik van maken.

Meestal is dit echter gewoon een hobbie waar ze soms wat leuks voor krijgen.
En vaak wordt dit soort Ethisch hackers een baan aangeboden wanneer zij goed genoeg zijn.
Reageer
RobertMe
@Goed gedaan23 oktober 2025 15:09
De F1 en de FIA zijn twee (on)afhankelijke partijen. De FIA is de wereldwijde motorsportbond die "toeziet" om vele race klassen waaronder dan de F1, maar ook rally, WEC, karten, .... Maar de commerciële uitbater van de Formule 1 is FOM (Formula One Managent). Alle inkomsten van de F1 (verkoop TV rechten, inkomsten uit wat de circuits / organisatoren betalen, ...) gaan dus naar FOM. En FOM heeft een bepaalde verdeelsleutel van "wat ze in eigen zak steken", wat er naar de teams gaat, en wat er naar de FIA gaat. En bij die andere klassen komt het meen ik weer voor dat de FIA zelf de commercieel uitbater is en de rechten verkoopt etc.
Het kan wel best dat de inkomsten uit wat FOM ze betaald een van de grootste inkomsten is. Maar het is niet zo dat "alle winst van F1" voor de FIA is.
Reageer
rko4u @RobertMe23 oktober 2025 16:23
Klopt, maar toch hoeven de belangrijke mensen van de FIA ook zeker niet op een houtje te bijten.
Reageer
CH4OS @Goed gedaan23 oktober 2025 15:27
De FOM (eigenaar van F1) is niet verantwoordelijk voor de (ingehuurde) scheidsrechter. ;)
Reageer
Triblade_8472 23 oktober 2025 15:11
Via een webportal een "wachtwoordhash" kunnen inzien? Waaaat? Dit is toch mega nalatig?

Ben benieuwd hoe goed de hash was en of max z'n wachtwoord overal hergebruikt ;)
Reageer
JeroenED @Triblade_847223 oktober 2025 16:00
Het hele artikel klinkt alsof de programmeur de eerste les over security gemist heeft. Zou er niet van schrikken dat die hash uiteindelijk gewoon het wachtwoord was omdat het management van Verstappen en dergelijke wel hun security op orde hebben en hun wachtwoorden met een password manager beheren.
Reageer
Dekar @Triblade_847223 oktober 2025 16:25
Niet normaal nee. De FIA mag zich wel heel diep schamen.
Reageer
satoer 23 oktober 2025 15:34
De hackers stopten met testen toen ze erachter kwamen dat ze de gegevens van Max Verstappen kon inzien, zoals zijn paspoort, cv, licentie, wachtwoordhash en persoonsgegevens, hoewel ze die niet daadwerkelijk hebben geopend.
Ja tuurlijk, dat gelooft toch niemand. Wel de interesse hebben om in te breken, maar niet de interesse hebben of het daadwerkelijk ook echt lukt de gegevens in te zien. Dat je er verder geen kwaadwillende interesses hebt is natuurlijk helemaal mooi, maar je kan mij echt niet wijs maken dat ze niet even rond hebben zitten neuzen. Al is het maar om wat bewijsmateriaal te vergaren dat de "hack" echt lukt, en niet dat de FIA dit na melding even snel stilletjes dichtpatched en daarna doet of de neus bloed.
Reageer
oef! @satoer23 oktober 2025 17:10
Dat zegt meer over jou dan over een ander. Ik kom mijn hele professionele leven al met zeer gevoelige data in aanraking en heb nooit die neiging gehad om die te bekijken. Het is onethisch en ik wil ook niet dat anderen naar mijn data zitten te loeren.
Reageer
downtime @oef!23 oktober 2025 17:38
Dito hier. Ik heb ook op een plek gewerkt waar medische en financiele informatie van miljoenen Nederlanders te vinden was. Ik vond het al een probleem als ik per ongeluk dat soort informatie onder ogen kreeg. Ik zou er zeker nooit bewust naar op zoek gaan. Het is onprofessioneel en het interesseert me ook gewoon niet.
Reageer
RobertMe
@satoer23 oktober 2025 15:45
In de bron staat gewoon een screenshot met downloadbare documenten waaronder "passport new" op de pagina van ene M. Verstappen. Ze hoeven dus echt niet er op te klikken om een vermoeden te hebben wat er in staat, en hebben toch wel aardig bewijs dat het lek is.
Reageer
downtime @satoer23 oktober 2025 17:27
[...]

Ja tuurlijk, dat gelooft toch niemand. Wel de interesse hebben om in te breken, maar niet de interesse hebben of het daadwerkelijk ook echt lukt de gegevens in te zien. Dat je er verder geen kwaadwillende interesses hebt is natuurlijk helemaal mooi, maar je kan mij echt niet wijs maken dat ze niet even rond hebben zitten neuzen. Al is het maar om wat bewijsmateriaal te vergaren dat de "hack" echt lukt, en niet dat de FIA dit na melding even snel stilletjes dichtpatched en daarna doet of de neus bloed.
Dan zijn ze dom. Met een beetje pech worden die handelingen wel gelogd en dan neemt de rechter jouw excuus van "ethical hacker" ook niet meer serieus. Je hebt niets aan aanvullend bewijs zonder dat bewijs te publiceren. En dan ben je zeker strafbaar.
Reageer
Kip 23 oktober 2025 15:39
Hopelijk heeft de FIA de website inmiddels grondig laten testen. De ethische hackers stopten direct bij deze ene kritieke bevinding. In combinatie met het lekken van wachtwoord-hashes van andere accounts is dit een duidelijk signaal om de veiligheid van de hele website in twijfel te trekken. Er is ook een mogelijkheid om bestanden te uploaden. Dat brengt ook risico met zich mee.

Ook grappig om te zien dat er een rol genaamd " President" is. Die kan je inmiddels hardcoden aan een enkele account :+
Reageer
mutley69 23 oktober 2025 19:54
Security en F1 - dat bestaat alleen maar om ons te treiteren. Geen vuur meer, geen dood, geen vernieling, geen rook - de F1 is supersaai en vervelend geworden. Even serieus nu:

Het is verbazingwekkend dat zo'n organisatie waar zoveel geld in omgaat, en zoveel belangen zo zwak om gaat met beveiliging.
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq