UNIT.City — місце, де люди працюють... КРАЩЕ! Обирай свій простір просто зараз 👉

Claude допоміг хакеру безплатно отримати VIP-квитки на найпопулярніші фестивалі США

Claude допоміг хакеру зламати систему продажу квитків, яку використовують великі музичні фестивалі США, завдяки чому він отримав безплатний доступ до квитків вартістю до $4 000.

Залишити коментар
Claude допоміг хакеру безплатно отримати VIP-квитки на найпопулярніші фестивалі США

Claude допоміг хакеру зламати систему продажу квитків, яку використовують великі музичні фестивалі США, завдяки чому він отримав безплатний доступ до квитків вартістю до $4 000.

Дослідник із безпеки та «білий» хакер Ієн Керролл заявив, що штучний інтелект Claude допоміг йому виявити та використати вразливість у системі. Цей баг дозволяв безплатно завантажувати необмежену кількість квитків на найбільші музичні фестивалі США, зокрема Lollapalooza, Bonnaroo, Austin City Limits, Electric Daisy Carnival та South by Southwest, повідомляє Cybernews.

«Було досить круто бачити квиток за $4 000 і розуміти, що я можу просто натиснути кнопку й випустити їх стільки, скільки захочу. Я міг би піти на абсолютно будь-яку подію без жодних лімітів чи обмежень; я міг би отримати перепустку за лаштунки або будь-що інше, що вони продають для супер-VIP-персон, навіть якщо всі квитки вже розпродані», — розповів  Керролл. 

Claude допоміг обійти заходи безпеки 

За словами Керролла, причиною вразливості став недолік SQL-ін'єкції без автентифікації в API пристроїв платформи Front Gate.

SQL-ін'єкція — це поширена вебвразливість, яка дозволяє зловмисникам маніпулювати запитами до бази даних, якщо додаток неправильно очищує введені користувачем дані. У цьому випадку параметр під назвою deviceUID, як повідомляється, вставлявся безпосередньо в запити до бази даних.

Спочатку спроби Керролла використати цю вразливість були заблоковані брандмауером вебдодатків сайту. Проте замість того, щоб здатися, він звернувся по допомогу до Claude 4.7 Opus — найновішої моделі штучного інтелекту від компанії Anthropic — і попросив ШІ знайти інший шлях.

Як стверджує Керролл, Claude виявив, що файрвол перевіряв лише зовнішній шар надісланих SQL-запитів. Загорнувши шкідливий запит у вкладений підзапит, ШІ створив експлойт, який успішно обійшов систему захисту.

Нескінченна кількість квитків

Щойно захист було обійдено, Керролл отримав доступ до бази даних, яка містила понад 500 таблиць. Серед відкритих даних були логіни співробітників та активні токени для скидання паролів.

Використовуючи ці токени, хакер зміг отримати права адміністратора на платформі. З таким рівнем доступу він мав можливість створювати квитки на будь-яку подію, що обслуговувалася через Front Gate, включно з преміальними VIP-пакетами вартістю в тисячі доларів.

За словами Керролла, він знайшов платиновий квиток на фестиваль Bonnaroo вартістю близько $4 000, який можна було копіювати в необмеженій кількості. Проте дослідник наголосив, що насправді він не створював і не використовував жодного квитка для проходу на заходи.

«Я зупинився на цьому і не переглядав жодних записів, окрім тих, що були необхідні для підтвердження проблеми. Суть була доведена: одного неавторизованого запиту до API сканера виявилося достатньо, щоб стати адміністратором EDC, Bonnaroo та будь-якого іншого фестивалю на цій платформі», — зазначив «білий» хакер. 

За словами дослідника, маючи лише доступ до публічної адреси пристрою, зловмисники могли безкоштовно оформлювати квитки на будь-які події Front Gate Tickets, отримувати дані клієнтів, внутрішні паролі, а також викрадати акаунти співробітників за допомогою токенів скидання пароля.

Хакер повідомив про проблему компанії Front Gate 25 квітня, і вже наступного дня вразливість виправили. Представники платформи заявили, що доказів реальних кібератак чи випуску фальшивих квитків немає.

У Front Gate також зменшили значущість загрози, зазначивши, що будь-які незаконно створені квитки залишили б слід під час аудиту і були б анульовані ще до початку заходів.

ШІ-бот підтримки Meta дав змогу хакерам без жодних зусиль захопити Instagram-акаунти: навіть двофакторний захист не допоміг
ШІ-бот підтримки Meta дав змогу хакерам без жодних зусиль захопити Instagram-акаунти: навіть двофакторний захист не допоміг
По темi
ШІ-бот підтримки Meta дав змогу хакерам без жодних зусиль захопити Instagram-акаунти: навіть двофакторний захист не допоміг
Claude Mythos допоміг дослідникам зламати ядро macOS на чипах Apple M5
Claude Mythos допоміг дослідникам зламати ядро macOS на чипах Apple M5
По темi
Claude Mythos допоміг дослідникам зламати ядро macOS на чипах Apple M5
ШІ допоміг чоловіку повернути $400 000 у біткоїнах через 11 років після того як він забув пароль «під кайфом»
ШІ допоміг чоловіку повернути $400 000 у біткоїнах через 11 років після того, як він забув пароль «під кайфом»
По темi
ШІ допоміг чоловіку повернути $400 000 у біткоїнах через 11 років після того, як він забув пароль «під кайфом»
Читайте головні IT-новини країни в нашому Telegram
Читайте головні IT-новини країни в нашому Telegram
По темi
Читайте головні IT-новини країни в нашому Telegram

Хочете повідомити важливу новину? Пишіть у Telegram-бот

Головні події та корисні посилання в нашому Telegram-каналі

Обговорення
Коментарів поки немає.