[情報] 熱心粉絲回報能發現車手資料的FIA安全性漏洞

作者milkypine (小純葛格)

看板FORMULA1

標題[情報] 熱心粉絲回報能發現車手資料的FIA安全性漏洞

時間Thu Oct 23 21:57:05 2025

https://ian.sh/fia https://x.com/galnagli/status/1981059382080323634 三位剛好是F1粉絲的駭客galnagli、samwcyo和iangcarroll近日在FIA的網站上發現安全漏? 他們從管理FIA車手的網站「drivercategorisation.fia.com」入手並取得管理者權限 https://i.imgur.com/WKHnZRX.png 他們以Max Verstappen為例，網站顯示了其護照、履歷、駕照、密碼雜湊和個人識別資訊甚至還能查閱所有與車手分類相關的內部通訊，包括他們表現的評論以及委員會的相關決策在他們回報後，FIA已修復相關漏洞賽事幹事沒錢請專人網站設計一蹋糊塗車手罰款突破天際啊這些到底都花在哪啊？？？ ----- Sent from JPTT on my Google Pixel 9 Pro XL. -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.231.173.109 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/FORMULA1/M.1761227829.A.9B6.html ※ 編輯: milkypine (61.231.173.109 臺灣), 10/23/2025 21:58:29

推 WindSpread: 5萬歐拿去吃豪華晚餐惹 10/23 21:59

推 gungriffon: 好像一直都沒交待罰款去向? 10/23 22:31

推 LIEN2021: 還好是熱心車迷 10/23 22:35

推 Vincent8026: 這種事不罕見啦，有學生從學校系統簡單手法弄出上千 10/23 23:45

→ Vincent8026: 張護照身分證，寄給學校高層 10/23 23:45

→ Vincent8026: 推動資訊安全的方式永遠都是直接讓他出包 10/23 23:46

推 WEight22: 白帽駭客在很多業界應該都有？ 10/24 00:01

推 Scent56: 還好沒去把車手名字改成Firstname Lastname 10/24 00:10

→ Vincent8026: 他的漏洞就是把權限做在瀏覽器端 10/24 03:34

→ Vincent8026: 瀏覽器端跟伺服器端說自己是啥權限，伺服器可能就信 10/24 03:35

→ Vincent8026: 被測試出規則後就拿到最大權限了 10/24 03:35

→ Vincent8026: 6/3駭客通知，當天系統下線， 6/10修復 10/24 03:36

→ Vincent8026: 6/22公開揭露10/24 03:36

→ Vincent8026: *10/22公開揭露10/24 03:36

推 Vincent8026: 跟之前某家台灣客運業者一樣，在瀏覽器端算金額10/24 03:40

→ Vincent8026: 伺服器端又不檢查，真的開出票10/24 03:41

感謝補充，我真的太久沒碰了所有只寫大概

→ ken720331: 直接打臉是最好的10/24 06:33

※ 編輯: milkypine (122.147.151.253 臺灣), 10/24/2025 08:51:45