https://ian.sh/fia
https://x.com/galnagli/status/1981059382080323634
三位剛好是F1粉絲的駭客galnagli、samwcyo和iangcarroll近日在FIA的網站上發現安全漏?
他們從管理FIA車手的網站「drivercategorisation.fia.com」入手並取得管理者權限
https://i.imgur.com/WKHnZRX.png
他們以Max Verstappen為例，網站顯示了其護照、履歷、駕照、密碼雜湊和個人識別資訊
甚至還能查閱所有與車手分類相關的內部通訊，包括他們表現的評論以及委員會的相關決策
在他們回報後，FIA已修復相關漏洞
賽事幹事沒錢請專人
網站設計一蹋糊塗
車手罰款突破天際
啊這些到底都花在哪啊？？？

5萬歐拿去吃豪華晚餐惹

好像一直都沒交待罰款去向?

還好是熱心車迷

這種事不罕見啦，有學生從學校系統簡單手法弄出上千張護照身分證，寄給學校高層推動資訊安全的方式永遠都是直接讓他出包

白帽駭客在很多業界應該都有？

還好沒去把車手名字改成Firstname Lastname

他的漏洞就是把權限做在瀏覽器端瀏覽器端跟伺服器端說自己是啥權限，伺服器可能就信被測試出規則後就拿到最大權限了6/3駭客通知，當天系統下線， 6/10修復6/22公開揭露*10/22公開揭露跟之前某家台灣客運業者一樣，在瀏覽器端算金額伺服器端又不檢查，真的開出票

直接打臉是最好的