أكد الاتحاد الدولي للسيارات FIA تعرضه خلال الصيف الماضي لثغرة أمنية في بوابة تصنيف السائقين Driver Categorisation Portal، بعد أن تمكن باحثون مستقلون من ترقية حساباتهم الجديدة إلى صلاحيات مدير نظام والوصول إلى ملفات شخصية ووثائق حساسة تخص عدداً من أبرز السائقين، من بينهم ماكس فيرستابين.
وبحسب ما نشره الباحثون إيان كارول وسام كوري وغال نغلي في 3 يونيو 2025، فقد اكتشفوا ثغرة من نوع mass-assignment تسمح بتغيير صلاحيات المستخدمين عبر طلب HTTP بسيط. وتمكن الفريق خلال 10 دقائق فقط من إنشاء حساب جديد وتعديله بإضافة صلاحية ADMIN في حقل الأدوار، ما منحهم صلاحيات إدارية كاملة داخل النظام.
تفاصيل الخلل والإجراءات المتخذة
بعد اختبار محدود للتحقق من مدى الوصول، أبلغ الباحثون الاتحاد الدولي مباشرة، والذي أغلق بدوره البوابة في ذات اليوم لتطبيق إصلاح شامل بحلول 10 يونيو. وأكدت المنظمة في بيانها أنها اتخذت خطوات فورية لتأمين البيانات وأبلغت سلطات حماية البيانات، مشيرة إلى أن عدداً محدوداً من السائقين فقط تأثروا بالحادثة، وأن بقية المنصات الرقمية التابعة للاتحاد لم تتأثر.
أوضح كارول في تقريره أن لوحة التحكم الخاصة بالمشرفين أتاحت الوصول إلى ملفات السائقين ووثائقهم الداعمة، من بينها جوازات سفر ورخص قيادة وسير ذاتية وبيانات تسجيل، لكنه شدد على أن الفريق لم يقم بتنزيل أو الاحتفاظ بأي من تلك الملفات. ونشر نغلي عبر منصة X أن “الوصول إلى جواز فيرستابين ورخصته الشخصية تم في 10 دقائق فقط بسبب خطأ بسيط”، مؤكداً حذف البيانات التجريبية فوراً بعد إبلاغ الاتحاد.
نظام التصنيف وأهمية البيانات
يعد نظام تصنيف السائقين من البنى الأساسية في بطولات الاتحاد الدولي، إذ يستخدم لتحديد الفئات (برونزية، فضية، ذهبية، بلاتينية) بناءً على خبرة السائقين وسجلاتهم. ويتطلب النظام تحميل وثائق هوية وشهادات أداء عبر المنصة، ما يجعلها مستودعاً ضخماً للبيانات الحساسة لنحو 7 آلاف سائق وفق تقارير GPBlog.
وأكد الاتحاد أن هذه الواقعة مختلفة تماماً عن حادثة العام الماضي التي شهدت اختراق حسابي بريد إلكتروني إثر هجوم تصيد، موضحاً أن الإجراءات الجديدة تهدف إلى تعزيز الحماية في كل المنصات الرقمية التابعة له.
دروس الحادثة
أشاد الباحثون بسرعة استجابة الاتحاد، معتبرين أن التعاون السريع ساهم في احتواء الخلل قبل تسرب أي بيانات. غير أن الحادثة أبرزت خطورة الأخطاء المنطقية في التحقق من الصلاحيات، إذ يمكن أن تتحول بوابة إدارية عادية إلى مصدر ضخم لتسريب الهوية خلال دقائق معدودة.
ويرى خبراء أن الحادثة تؤكد ضرورة تبني مبدأ الأمن بالتصميم في أنظمة المؤسسات الرياضية الكبرى، وأن على الهيئات ذات الموارد الضخمة التعامل مع حماية البيانات كمنهج مستمر وليس كشعار تنظيمي.
