Support us

Claude взломал билетную систему крупнейших фестивалей США

Специалист по кибербезопасности Иэн Кэрролл обнаружил уязвимость в системе Front Gate Tickets, которая обслуживает продажу билетов на крупнейшие музыкальные фестивали США.

Оставить комментарий
Claude взломал билетную систему крупнейших фестивалей США

Специалист по кибербезопасности Иэн Кэрролл обнаружил уязвимость в системе Front Gate Tickets, которая обслуживает продажу билетов на крупнейшие музыкальные фестивали США.

С помощью Claude Opus 4.7 он смог получить доступ администратора и, по его словам, выпускать билеты на любые мероприятия — в том числе дорогие VIP-пропуска. Кэрролл не воспользовался этой возможностью и сообщил о проблеме компании. Front Gate заявила, что устранила уязвимость за 24 часа и не обнаружила признаков эксплуатации, компрометации клиентских данных или влияния на билеты.

«Было довольно впечатляюще увидеть билет за $4 тысячи и понять, что я могу нажать кнопку и выпустить столько, сколько захочу», — рассказал Кэрролл Wired.

Исследователь начал проверять сайт Front Gate после того, как заметил, что сервис обслуживает почти все крупные американские фестивали. Он обнаружил уязвимость, связанную с обработкой SQL-запросов, но встроенный веб-файрвол блокировал попытки ее использовать. Тогда Кэрролл обратился к Claude Opus 4.7, который предложил способ обойти защиту и написал скрипт для доступа к внутренним данным.

По словам Кэролла, уязвимость могла открыть доступ к сотням баз данных с именами, адресами и электронной почтой миллионов клиентов, а также к данным сотрудников Front Gate. Банковские карты в этих данных не содержались. Получив доступ к учетным записям персонала, исследователь смог захватить аккаунт администратора и добавить в корзину бесплатные билеты на фестивали, но не завершал оформление заказа.

В Claude Code пропадает история чатов — разрабы недовольны
В Claude Code пропадает история чатов — разрабы недовольны
По теме
В Claude Code пропадает история чатов — разрабы недовольны

Front Gate заявила, что исследователь получил доступ не к публичной части сервиса, а к внутреннему API, который используют сканеры билетов на площадках. Компания также утверждает, что любые изменения в учетных записях сотрудников вызывают предупреждения, а незаконно выпущенные билеты можно было бы отследить и аннулировать до использования.

Исследователь считает, что инцидент показывает, насколько ИИ ускоряет поиск уязвимостей. Он участвовал в программе Anthropic Cyber Verification Program, которая дает проверенным исследователям доступ к расширенным возможностям Claude для тестирования безопасности. Anthropic заявила, что вне этой программы подобное использование модели было бы обнаружено и заблокировано.

«Есть большая вероятность, что модель могла бы найти эту уязвимость от начала до конца вообще без моего участия», — сказал Кэрролл. При этом исследователь отметил, что в системе не было двухфакторной аутентификации для административных аккаунтов. По его словам, даже без найденной уязвимости скомпрометированный пароль сотрудника мог дать злоумышленнику доступ к выпуску бесплатных билетов.

Воры охотятся за медью и оборудованием для ИИ-дата-центров
Воры охотятся за медью и оборудованием для ИИ-дата-центров
По теме
Воры охотятся за медью и оборудованием для ИИ-дата-центров
Трамп снял блокировку с моделей Anthropic Mythos и Fable
Трамп снял блокировку с моделей Anthropic Mythos и Fable
По теме
Трамп снял блокировку с моделей Anthropic Mythos и Fable
Codex намудрил с лимитами токенов — OpenAI сбросила квоты после жалоб
Codex намудрил с лимитами токенов — OpenAI сбросила квоты после жалоб
По теме
Codex намудрил с лимитами токенов — OpenAI сбросила квоты после жалоб
Читайте также
Anthropic показала мощный ИИ для поиска уязвимостей, но держит его закрытым
Anthropic показала мощный ИИ для поиска уязвимостей, но держит его закрытым
Anthropic показала мощный ИИ для поиска уязвимостей, но держит его закрытым
Ложная тревога: малые ИИ-модели могут находить баги не хуже нашумевшей Mythos от Anthropic
Ложная тревога: малые ИИ-модели могут находить баги не хуже нашумевшей Mythos от Anthropic
Ложная тревога: малые ИИ-модели могут находить баги не хуже нашумевшей Mythos от Anthropic
Новый плагин безопасности для Claude Code отлавливает ошибки в коде в процессе написания
Новый плагин безопасности для Claude Code отлавливает ошибки в коде в процессе написания
Новый плагин безопасности для Claude Code отлавливает ошибки в коде в процессе написания
Чистый GitHub-репозиторий может заставить Claude Code установить вредоносное ПО
Чистый GitHub-репозиторий может заставить Claude Code установить вредоносное ПО
Чистый GitHub-репозиторий может заставить Claude Code установить вредоносное ПО

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.