Accessing Max Verstappen's passport and PII through FIA bugs 🔥 Горячее
Исследователи безопасности обнаружили критическую уязвимость в системе Международной автомобильной федерации (FIA), позволившую получить несанкционированный доступ к персональным данным гонщиков Формулы-1. Через портал drivercategorisation.fia.com, используемый для присвоения гонщикам категорий, они смогли повысить свои привилегии до уровня администратора с помощью простого модифицированного HTTP PUT запроса, добавив параметр "roles" со значением "ADMIN".
Получив полный административный доступ, исследователи обнаружили возможность просмотра конфиденциальной информации, включая паспортные данные чемпиона Макса Ферстаппена и других гонщиков. Уязвимость существовала из-за отсутствия proper проверки прав при изменении параметров пользователя, что позволяло осуществить атаку повышения привилегий. Этот инцидент демонстрирует серьезные пробелы в кибербезопасности даже в таких престижных организациях, как FIA, отвечающей за один из самых технологичных видов спорта в мире.
Комментарии (137)
- Сайт F1, который не смог защитить личные данные, был взломан, и это стало поводом для обсуждения, что компания, которая не может защитить данные, не должна быть доверена.
- Пользователи отметили, что сайт не только не защищает данные, но и не имеет bug bounty программы, что делает невозможным получить вознаграждение за найденные уязвимости.
- Некоторые участники обсуждения подчеркнули, что вместо того, чтобы устранять уязвимости, компания может начать угрожать исследователям, которые сообщают о проблеме.
- Было также отмечено, что вместо того, чтобы устранять уязвимости, компания может начать угрожать исследователям, которые сообщают о проблеме.
Linux Capabilities Revisited
Linux capabilities представляют собой механизм контроля доступа, который разделяет привилегии суперпользователя на отдельные единицы. В системе существует 40 таких возможностей, что позволяет более гибко управлять правами доступа, чем традиционная модель "всё или ничего". Статья демонстрирует, как злоумышленник может использовать setcap cap_setuid+ep /usr/bin/python3 для создания бэкдора, позволяющего обычному пользователю получить права root без установки бита SUID. Это особенно опасно, так как традиционные методы поиска эскалации привилегаций фокусируются на файлах с установленными битами SUID и SGID.
Для обнаружения файлов с capabilities можно использовать команду getcap -r /, а для анализа процессов — проверять /proc/[pid]/status или использовать утилиты capsh и getpcaps. Статья подчеркивает важность поиска таких файлов при проведении расследований и аудитов безопасности. Скрипты вроде LinPEAS также включают проверки capabilities при поиске путей эскалации привилегий. Для удаления capabilities с бинарного файла используется команда setcap -r.
Комментарии (35)
- Linux capabilities не реализуют настоящую модель capability-based security, а лишь предоставляют грубые флаги привилегий.
- Проблема в том, что они слишком грубы и не позволяют выдавать только конкретный порт или другой ресурс, а вместо этого разрешают "всё, что угодно, кроме какого-то".
- Наследование прав при fork/exec в Linux не ограничено, что позволяет любой процесс получить доступ к любым ресурсам, если только он может получить fd откуда-нибудь.
- Это делает невозможным реализовать настоящую capability-модель безопасности, где процесс может только делегировать конкретные доступы вместо всего набора прав.
- Подобные ограничения делают невозможным использование механизма в качестве реальной системы контроля доступа, вместо этого он используется лишь как дополнительный слой поверх традиционной модели.
Copilot broke audit logs, but Microsoft won't tell customers 🔥 Горячее 💬 Длинная дискуссия
Уязвимость Copilot: доступ к файлам без записи в журнал аудита
Автор: Zack Korman, 19.08.2025
Суть проблемы
M365 Copilot может читать файлы и не фиксировать это в журнале аудита, если попросить «не давать ссылку на файл». Это позволяет скрытно скачивать данные, нарушая безопасность и требования к соответствию.
Как обнаружил
Исследуя логику аудита для новой функции Pistachio, автор заметил пропуски в журнале. Проверка показала: достаточно добавить фразу «без ссылки» — запись исчезает. Это может произойти случайно, поэтому у многих организаций журналы уже искажены.
Реакция Microsoft
- Уязвимость признали «важной» и исправили.
- Клиентов не уведомили; официального бюллетеня нет.
- Процесс MSRC занял 45 дней, ответы были формальными, без деталей.
Вывод
Журналы аудита M365 Copilot ненадёжны, а Microsoft не планирует информировать пользователей. Организациям стоит перепроверить свои логи и усилить контроль доступа к чувствительным данным.
Комментарии (258)
- Copilot читает индексированные данные от имени привилегированного сервиса, поэтому не фиксирует в журнале доступ к самому файлу.
- Это приводит к утечкам: пользователь видит содержимое, но в аудите нет записи о нарушении прав.
- Исправление Microsoft ограничилось «автоматическим обновлением» без CVE и без изменения архитектуры.
- Участники считают проблему классической «confused deputy» и указывают, что фильтрация по правам в векторной БД вполне масштабируется.
- Советуют подключить Legal/Compliance и готовиться к регуляторным разбирательствам, особенно в HIPAA-окружении.