NWS Nieuws & Achtergronden
Discussieer hier diepgaander over de actualiteiten.
https://tweakers.net/nieu(...)oor-bug-bij-fia.html
quote:Drie ethische hackers wisten toegang te krijgen tot de interne systemen van motorsportorganisatie FIA. Zij konden via een bug toegang krijgen tot de persoonsgegevens van F1-coureurs, waaronder die van Max Verstappen. De bug is inmiddels verholpen.
Ian Carroll, Gal Nagli en Sam Curry ontdekten het lek op de website waar coureurs een classificatie kunnen aanvragen bij de FIA, het bestuursorgaan voor motorsporten als de formule 1. Dat staat los van de superlicenties waarover F1-coureurs moeten beschikken, hoewel veel F1-coureurs ook een classificatie hebben, zodat ze ook buiten de formule 1 kunnen deelnemen aan races.
Gebruikers kunnen een account aanmaken op de website in kwestie en kunnen vervolgens een aanvraag doen bij de FIA. Normaal gesproken moeten gebruikers daar veel documenten invoeren, zoals identiteitsbewijzen en eerdere racedeelnames.
De drie ethische hackers ontdekten een HTTP PUT-verzoek, dat wordt gebruikt om het account van de gebruiker bij te werken. Daarin staat normaliter bijvoorbeeld het e-mailadres en de naam van de gebruiker, maar in een JSON-respons troffen ze méér waarden aan. Een van die waarden was de 'rol' van het account. De ethische hackers voegden daarop de titel 'admin' toe als rol van hun account.
Vervolgens konden ze opnieuw inloggen en kregen ze een nieuw dashboard te zien, waarin de gegevens van coureurs opgezocht konden worden. De hackers stopten met testen toen ze erachter kwamen dat ze de gegevens van Max Verstappen kon inzien, zoals zijn paspoort, cv, licentie, wachtwoordhash en persoonsgegevens, hoewel ze die niet daadwerkelijk hebben geopend.
Carroll heeft de FIA op 3 juni op de hoogte gesteld van het lek en kreeg diezelfde dag nog antwoord. Op 10 juni is de kwetsbaarheid gedicht. De ethische hackers hebben de details over de 'hack' eind oktober pas publiekelijk bekendgemaakt, dus ruim nadat het probleem was opgelost, zoals gebruikelijk bij responsible disclosure.
De FIA bevestigt tegenover PlanetF1 dat het bedrijf zich afgelopen zomer 'bewust is geworden van een cyberincident' rondom de classificatiewebsite. De organisatie zegt onmiddellijk maatregelen te hebben genomen en de relevante gegevensbeschermingsautoriteiten en 'een klein aantal coureurs' op de hoogte gesteld van het incident.
Faal van die partij. Vraag me ook af waarom dat een admin paspoorden kan ophalen via het open www.
Lijkt me dat zoiets prima (extra) afgeschermd kan worden (vpn of client certificaten bijvoorbeeld).
Lijkt me dat zoiets prima (extra) afgeschermd kan worden (vpn of client certificaten bijvoorbeeld).
Never allow waiting to become a habit.
Live your dreams and take risks.
Life is happening now.
Live your dreams and take risks.
Life is happening now.
Kijk, hier hebben we nou eens wat aan.
Beveiligingscheckers.
Beveiligingscheckers.
'Je gaat het pas zien als je het doorhebt'
'Ieder nadeel heb zijn voordeel'
We zullen je nooit, nooit vergeten
1947-2016
'Ieder nadeel heb zijn voordeel'
We zullen je nooit, nooit vergeten
1947-2016
Trol.quote:Op donderdag 23 oktober 2025 17:29 schreef PowerLoungen het volgende:
Nationaliteit veranderen naar de ware aard van het beestje : Belgisch
'Je gaat het pas zien als je het doorhebt'
'Ieder nadeel heb zijn voordeel'
We zullen je nooit, nooit vergeten
1947-2016
'Ieder nadeel heb zijn voordeel'
We zullen je nooit, nooit vergeten
1947-2016
Pretty please, with sugar on top.quote:Op donderdag 23 oktober 2025 17:27 schreef Kickstart het volgende:
Ontsla de Directeur!, mooie manier om van de rat af te komen
'Je gaat het pas zien als je het doorhebt'
'Ieder nadeel heb zijn voordeel'
We zullen je nooit, nooit vergeten
1947-2016
'Ieder nadeel heb zijn voordeel'
We zullen je nooit, nooit vergeten
1947-2016
Ik ga er geen apart topic voor openen, maar wat ik heel kwalijk vind, is dat ex-prins Andrew BSN-achtige gegevens kon verkrijgen van Virginia Giuffre.
Wel echt een knudde fout zeg, want met een beetje skills kon je die info gewoon uitlezen in de browser. LOL
Maar dat zie je zo vaak, even snel een website opzetten en daarna snel door naar iets nieuw belangrijks... fijn dat er goede hackers zijn die dit soort zaken vinden en aankaarten!
Maar dat zie je zo vaak, even snel een website opzetten en daarna snel door naar iets nieuw belangrijks... fijn dat er goede hackers zijn die dit soort zaken vinden en aankaarten!
The people who lost my respect will never get a capital letter for their name again.
Like trump...
Like trump...
Nee man.quote:
Pas als hij zich een week niet geschoren heeft wordt het Max Furstappen.
En als hij kinky wil doen met Kelly misschien wel Max Furrystappen. Maar dat hoeven we niet te weten.
'Je gaat het pas zien als je het doorhebt'
'Ieder nadeel heb zijn voordeel'
We zullen je nooit, nooit vergeten
1947-2016
'Ieder nadeel heb zijn voordeel'
We zullen je nooit, nooit vergeten
1947-2016
Eerste keer dat ik ooit van ethische hackers heb gehoord.
Radical islam is the snake in the grass.
Moderate islam is the grass that hides the snake.
Moderate islam is the grass that hides the snake.
ik moest aan Depay denken 
Aan deze tekst kunnen geen rechten worden ontleend.
Ik ben geen robot.
I stand with (the) Netherlands. w/
Ik ben geen robot.
I stand with (the) Netherlands. w/
Hoe kan het dat dit soort basale inputvalidatie fouten nog steeds gemaakt worden? Heeft de FIA ook al AI omarmd?
Een dag zonder vlees is een dag niet geleefd
Omdat dit systeem niet alleen door admins wordt gebruikt, maar ook door teams/rijders, het probleem zit hem er waarschijnlijk in dat bij deze API Methode, men de verkeerde rechten heeft gegeven, normaliter is het met de meeste frameworks een kwestie van boven de methode de authenticatie groep te definiëren, en soms gebeurt dat slordig, ik zal een voorbeeld geven uit eigen praktijk, dit ging om een financieel systeem, en daar konden admins bepaalde zaken aanpassen. Later kwam de wens dat de gebruiker een bepaalde handeling zelf kon doen, dus toen werd de authenticatie van admin uitgebreid met gebruiker. Echter omdat bij een admin handeling niet gevalideerd word wie de "gebruiker" is maar slechts zijn rol, zat er in de functie zelf geen check, of de aanpassing van de user ook de user is die ingelogged is. Kortom dat is niet echt broddelwerk, maar meer een onzorgvuldigheid.quote:Op donderdag 23 oktober 2025 16:37 schreef embedguy het volgende:
Faal van die partij. Vraag me ook af waarom dat een admin paspoorden kan ophalen via het open www.
Lijkt me dat zoiets prima (extra) afgeschermd kan worden (vpn of client certificaten bijvoorbeeld).
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
|
|
