Investigadores descubren vulnerabilidad en la web de la FIA que expone datos de sus pilotos

El 3 de junio de 2025, los investigadores Gal Nagli, Sam Curry e Ian Carroll informaron de una vulnerabilidad crítica en el portal de categorización de pilotos de la Federación Internacional del Automóvil (FIA). La vulnerabilidad permitía que un usuario con permisos limitados cambiara su propio rol dentro del sistema (por ejemplo, pasando de usuario normal a administrador). Gracias a ese cambio de rol, podía obtener acceso al panel de administración del portal de la FIA, que normalmente está restringido solo al personal autorizado.

Desde este portal, los investigadores señalaron que era posible ver y descargar información confidencial de los pilotos, incluyendo pasaportes, currículums, hash de contraseñas y otra información personal, además de comunicaciones internas de los usuarios y empleados.

La FIA respondió al aviso de los investigadores desactivando el portal para mitigar el riesgo y poder corregir el error. La vulnerabilidad fue causada por un fallo en los controles de acceso a la API del portal.

El 10 de junio la vulnerabilidad fue parcheada y el portal de categorización de pilotos fue restaurado. La FIA también realizó una investigación que confirmó que no hubo explotación de la vulnerabilidad por un atacante malicioso.

Finalmente, la FIA, en colaboración con los investigadores, ha asegurado que tomará medidas adicionales para fortalecer la seguridad de sus plataformas y evitar futuros incidentes. Además, ha indicado que seguirá los procedimientos adecuados para notificar a los usuarios afectados de acuerdo con las normativas de privacidad y protección de datos.