https://ian.sh/fia
https://x.com/galnagli/status/1981059382080323634
三位刚好是F1粉丝的骇客galnagli、samwcyo和iangcarroll近日在FIA的网站上发现安全漏?
他们从管理FIA车手的网站“drivercategorisation.fia.com”入手并取得管理者权限
https://i.imgur.com/WKHnZRX.png
他们以Max Verstappen为例，网站显示了其护照、履历、驾照、密码杂凑和个人识别资讯
甚至还能查阅所有与车手分类相关的内部通讯，包括他们表现的评论以及委员会的相关决策
在他们回报后，FIA已修复相关漏洞
赛事干事没钱请专人
网站设计一蹋糊涂
车手罚款突破天际
啊这些到底都花在哪啊？？？

5万欧拿去吃豪华晚餐惹

好像一直都没交待罚款去向?

还好是热心车迷

这种事不罕见啦，有学生从学校系统简单手法弄出上千张护照身分证，寄给学校高层推动资讯安全的方式永远都是直接让他出包

白帽骇客在很多业界应该都有？

还好没去把车手名字改成Firstname Lastname

他的漏洞就是把权限做在浏览器端浏览器端跟服务器端说自己是啥权限，服务器可能就信被测试出规则后就拿到最大权限了6/3骇客通知，当天系统下线， 6/10修复6/22公开揭露*10/22公开揭露跟之前某家台湾客运业者一样，在浏览器端算金额服务器端又不检查，真的开出票

直接打脸是最好的