Дапамажыце dev.by 🤍
Падтрымаць

Claude узламаў білетную сістэму буйнейшых фестываляў ЗША

Спецыяліст па кібербяспецы Іэн Кэрал выявіў уразлівасць у сістэме Front Gate Tickets, якая абслугоўвае продаж білетаў на найбуйнейшыя музычныя фестывалі ЗША.

Пакінуць каментарый
Claude узламаў білетную сістэму буйнейшых фестываляў ЗША

Спецыяліст па кібербяспецы Іэн Кэрал выявіў уразлівасць у сістэме Front Gate Tickets, якая абслугоўвае продаж білетаў на найбуйнейшыя музычныя фестывалі ЗША.

З дапамогай Claude Opus 4.7 ён здолеў атрымаць доступ адміністратара і, паводле яго, выпускаць квіткі на любыя мерапрыемствы — у тым ліку дарагія VIP-прапускі. Кэрал не скарыстаўся гэтай магчымасцю і паведаміў пра праблему кампаніі. Front Gate заявіла, што ліквідавала ўразлівасць за 24 гадзіны і не выявіла прыкмет эксплуатацыі, кампраметацыі кліенцкіх дадзеных або ўплыву на квіткі.

«Было даволі ўражальна ўбачыць квіток за $4 тысячы і зразумець, што я магу націснуць кнопку і выпусціць столькі, колькі захачу», — расказаў Кэрал Wired.

Даследчык пачаў правяраць сайт Front Gate пасля таго, як заўважыў, што сервіс абслугоўвае амаль усе буйныя амерыканскія фестывалі. Ён выявіў уразлівасць, звязаную з апрацоўкай SQL-запытаў, аднак убудаваны вэб-файрвол блакіраваў спробы яе выкарыстаць. Тады Кэрал звярнуўся да Claude Opus 4.7, які прапанаваў спосаб абысці абарону і напісаў скрыпт для доступу да ўнутраных дадзеных.

Паводле Кэрала, уразлівасць магла адкрыць доступ да сотняў баз дадзеных з імёнамі, адрасамі і электроннай поштай мільёнаў кліентаў, а таксама да дадзеных супрацоўнікаў Front Gate. Банкаўскія карты ў гэтых дадзеных не ўтрымліваліся. Атрымаўшы доступ да ўліковых запісаў персаналу, даследчык здолеў захапіць акаўнт адміністратара і дадаць у кошык бясплатныя квіткі на фестывалі, але не завяршаў афармленне замовы.

В Claude Code пропадает история чатов — разрабы недовольны
У Claude Code знікае гісторыя чатаў — распрацоўшчыкі незадаволены
Па тэме
У Claude Code знікае гісторыя чатаў — распрацоўшчыкі незадаволены

Front Gate заявіла, што даследчык атрымаў доступ не да публічнай часткі сэрвісу, а да ўнутранага API, які выкарыстоўваюць сканеры білетаў на пляцоўках. Кампанія таксама сцвярджае, што любыя змены ва ўліковых запісах супрацоўнікаў выклікаюць папярэджанні, а незаконна выпушчаныя білеты можна было б адсачыць і ануляваць да выкарыстання.

Даследчык лічыць, што інцыдэнт паказвае, наколькі ШІ паскарае пошук уразлівасцей. Ён удзельнічаў у праграме Anthropic Cyber Verification Program, якая дае верыфікаваным даследчыкам доступ да пашыраных магчымасцей Claude для тэсціравання бяспекі. Anthropic заявіла, што па-за гэтай праграмай падобнае выкарыстанне мадэлі было б выяўлена і заблакіравана.

«Ёсць вялікая верагоднасць, што мадэль магла б знайсці гэтую ўразлівасць ад пачатку да канца наогул без майго ўдзелу», — сказаў Кэрал. Пры гэтым даследчык адзначыў, што ў сістэме не было двухфактарнай аўтэнтыфікацыі для адміністрацыйных акаўнтаў. Паводле яго слоў, нават без знойдзенай уразлівасці скампраметаваны пароль супрацоўніка мог даць зламысніку доступ да выпуску бясплатных білетаў.

Воры охотятся за медью и оборудованием для ИИ-дата-центров
Злодзеі паляюць за меддзю і абсталяваннем для ШІ-датацэнтраў
Па тэме
Злодзеі паляюць за меддзю і абсталяваннем для ШІ-датацэнтраў
Трамп снял блокировку с моделей Anthropic Mythos и Fable
Трамп зняў блакіроўку з мадэляў Anthropic Mythos і Fable
Па тэме
Трамп зняў блакіроўку з мадэляў Anthropic Mythos і Fable
Codex намудрил с лимитами токенов — OpenAI сбросила квоты после жалоб
Codex наблытаў з лімітамі токенаў — OpenAI скінула квоты пасля скаргаў
Па тэме
Codex наблытаў з лімітамі токенаў — OpenAI скінула квоты пасля скаргаў
Чытайце таксама
Офісны ШІ-агент Anthropic умее красці файлы праз схаваныя каманды
Офісны ШІ-агент Anthropic умее красці файлы праз схаваныя каманды
Офісны ШІ-агент Anthropic умее красці файлы праз схаваныя каманды
Anthropic паказала магутны ШІ для пошуку ўразлівасцяў, але трымае яго закрытым
Anthropic паказала магутны ШІ для пошуку ўразлівасцяў, але трымае яго закрытым
Anthropic паказала магутны ШІ для пошуку ўразлівасцяў, але трымае яго закрытым
Claude Mythos збегла з пясочніцы і сама распавяла пра гэта ў сетцы
Claude Mythos збегла з пясочніцы і сама распавяла пра гэта ў сетцы
Claude Mythos збегла з пясочніцы і сама распавяла пра гэта ў сетцы
Карыстальнік 11 гадоў успамінаў пароль ад крыпты. Claude дапамог вярнуць $400 000
Карыстальнік 11 гадоў успамінаў пароль ад крыпты. Claude дапамог вярнуць $400 000
Карыстальнік 11 гадоў успамінаў пароль ад крыпты. Claude дапамог вярнуць $400 000
1 каментарый

Хочаце паведаміць важную навіну? Пішыце ў Telegram-бот

Галоўныя падзеі і карысныя спасылкі ў нашым Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.