Claude узламаў білетную сістэму буйнейшых фестываляў ЗША
Спецыяліст па кібербяспецы Іэн Кэрал выявіў уразлівасць у сістэме Front Gate Tickets, якая абслугоўвае продаж білетаў на найбуйнейшыя музычныя фестывалі ЗША.
Спецыяліст па кібербяспецы Іэн Кэрал выявіў уразлівасць у сістэме Front Gate Tickets, якая абслугоўвае продаж білетаў на найбуйнейшыя музычныя фестывалі ЗША.
Спецыяліст па кібербяспецы Іэн Кэрал выявіў уразлівасць у сістэме Front Gate Tickets, якая абслугоўвае продаж білетаў на найбуйнейшыя музычныя фестывалі ЗША.
З дапамогай Claude Opus 4.7 ён здолеў атрымаць доступ адміністратара і, паводле яго, выпускаць квіткі на любыя мерапрыемствы — у тым ліку дарагія VIP-прапускі. Кэрал не скарыстаўся гэтай магчымасцю і паведаміў пра праблему кампаніі. Front Gate заявіла, што ліквідавала ўразлівасць за 24 гадзіны і не выявіла прыкмет эксплуатацыі, кампраметацыі кліенцкіх дадзеных або ўплыву на квіткі.
«Было даволі ўражальна ўбачыць квіток за $4 тысячы і зразумець, што я магу націснуць кнопку і выпусціць столькі, колькі захачу», — расказаў Кэрал Wired.
Даследчык пачаў правяраць сайт Front Gate пасля таго, як заўважыў, што сервіс абслугоўвае амаль усе буйныя амерыканскія фестывалі. Ён выявіў уразлівасць, звязаную з апрацоўкай SQL-запытаў, аднак убудаваны вэб-файрвол блакіраваў спробы яе выкарыстаць. Тады Кэрал звярнуўся да Claude Opus 4.7, які прапанаваў спосаб абысці абарону і напісаў скрыпт для доступу да ўнутраных дадзеных.
Паводле Кэрала, уразлівасць магла адкрыць доступ да сотняў баз дадзеных з імёнамі, адрасамі і электроннай поштай мільёнаў кліентаў, а таксама да дадзеных супрацоўнікаў Front Gate. Банкаўскія карты ў гэтых дадзеных не ўтрымліваліся. Атрымаўшы доступ да ўліковых запісаў персаналу, даследчык здолеў захапіць акаўнт адміністратара і дадаць у кошык бясплатныя квіткі на фестывалі, але не завяршаў афармленне замовы.

Front Gate заявіла, што даследчык атрымаў доступ не да публічнай часткі сэрвісу, а да ўнутранага API, які выкарыстоўваюць сканеры білетаў на пляцоўках. Кампанія таксама сцвярджае, што любыя змены ва ўліковых запісах супрацоўнікаў выклікаюць папярэджанні, а незаконна выпушчаныя білеты можна было б адсачыць і ануляваць да выкарыстання.
Даследчык лічыць, што інцыдэнт паказвае, наколькі ШІ паскарае пошук уразлівасцей. Ён удзельнічаў у праграме Anthropic Cyber Verification Program, якая дае верыфікаваным даследчыкам доступ да пашыраных магчымасцей Claude для тэсціравання бяспекі. Anthropic заявіла, што па-за гэтай праграмай падобнае выкарыстанне мадэлі было б выяўлена і заблакіравана.
«Ёсць вялікая верагоднасць, што мадэль магла б знайсці гэтую ўразлівасць ад пачатку да канца наогул без майго ўдзелу», — сказаў Кэрал. Пры гэтым даследчык адзначыў, што ў сістэме не было двухфактарнай аўтэнтыфікацыі для адміністрацыйных акаўнтаў. Паводле яго слоў, нават без знойдзенай уразлівасці скампраметаваны пароль супрацоўніка мог даць зламысніку доступ да выпуску бясплатных білетаў.



Релоцировались? Теперь вы можете комментировать без верификации аккаунта.