科技媒体techradar报道，F1管理机构国际汽联官网存在严重漏洞，可窃取所有F1车手的个人身份信息，包括护照和驾照详细资料。研究人员成功访问了赛道上每一位F1车手的个人身份信息，幸运的是目前没有证据表明有不法分子利用此漏洞窃取数据，该缺陷现已被修复。漏洞突破口是国际汽联的车手分级网站，研究人员利用API漏洞获得管理员权限，访问了系统内所有数据，包括车手驾照申请资料、护照、个人联系方式等高度敏感的文件。国际汽联已采取措施保护车手数据，并按规定向相关数据保护机构报告。

🔒国际汽联车手分级网站存在严重安全漏洞，可被利用窃取所有F1车手的个人身份信息，包括护照和驾照详细资料。研究人员成功访问了赛道上每一位F1车手的个人身份信息，该漏洞现已被修复。

🌐研究人员利用API漏洞获得管理员权限，访问了系统内所有数据，包括车手驾照申请资料、护照、个人联系方式等高度敏感的文件。这一漏洞暴露了整个系统的核心数据。

📢国际汽联已采取措施保护车手数据，并按规定向相关数据保护机构报告，并通知了少数受影响的车手。目前没有证据表明有不法分子利用此漏洞窃取数据。

IT之家 10 月 24 日消息，科技媒体 techradar 昨日（10 月 23 日）发布博文，报道称 F1 管理机构国际汽联（FIA）官网存在严重漏洞，可窃取所有 F1 车手的个人身份信息（PII），包括护照和驾照的详细资料。

研究人员 Ian Carroll、Gal Nagli 和 Sam Curry 通过该漏洞，他们成功访问了赛道上每一位 F1 车手的个人身份信息。幸运的是，目前没有证据表明有不法分子利用此漏洞窃取数据，并且该缺陷现已被修复。

IT之家援引博文介绍，此次安全事件的突破口是国际汽联的车手分级网站。由于车手每年都需通过该网站更新用以参赛的超级驾照，因此该门户网站是公开的，任何人都可以申请账户。

研究人员正是利用了这一点，创建了自己的驾照账户。在更新个人资料时，他们发现服务器返回的信息超出了他们输入的内容。例如，当编辑姓名和邮箱时，服务器不仅会返回这些信息，还会额外发回出生日期和一个关键字段 ——“角色”（role）。

这个“角色”字段代表了账户的访问权限，如“车手”、“FIA 员工”或“管理员”。于是，研究人员利用一个名为“大规模分配”（Mass Assignment）的常见 API 漏洞，在更新个人信息的请求中，简单地将自己的角色修改为了“admin”（管理员），从而轻易获得了系统的最高权限。

获得管理员权限后，研究人员可以访问系统内的一切数据。这不仅包括所有 F1 车手的驾照申请资料，还包括他们上传的护照、个人联系方式等高度敏感的文件。更为严重的是，他们甚至能看到国际汽联内部关于驾照审批决策的通信记录，整个系统的核心数据完全暴露无遗。

国际汽联的一位发言人对此事件回应称，他们在夏季已意识到该网站存在网络安全事件，并立即采取措施保护车手数据，同时按照规定向相关数据保护机构进行了报告，并通知了少数受影响的车手。