Claude взломал билетную систему крупнейших фестивалей США
Специалист по кибербезопасности Иэн Кэрролл обнаружил уязвимость в системе Front Gate Tickets, которая обслуживает продажу билетов на крупнейшие музыкальные фестивали США.
Специалист по кибербезопасности Иэн Кэрролл обнаружил уязвимость в системе Front Gate Tickets, которая обслуживает продажу билетов на крупнейшие музыкальные фестивали США.
Специалист по кибербезопасности Иэн Кэрролл обнаружил уязвимость в системе Front Gate Tickets, которая обслуживает продажу билетов на крупнейшие музыкальные фестивали США.
С помощью Claude Opus 4.7 он смог получить доступ администратора и, по его словам, выпускать билеты на любые мероприятия — в том числе дорогие VIP-пропуска. Кэрролл не воспользовался этой возможностью и сообщил о проблеме компании. Front Gate заявила, что устранила уязвимость за 24 часа и не обнаружила признаков эксплуатации, компрометации клиентских данных или влияния на билеты.
«Было довольно впечатляюще увидеть билет за $4 тысячи и понять, что я могу нажать кнопку и выпустить столько, сколько захочу», — рассказал Кэрролл Wired.
Исследователь начал проверять сайт Front Gate после того, как заметил, что сервис обслуживает почти все крупные американские фестивали. Он обнаружил уязвимость, связанную с обработкой SQL-запросов, но встроенный веб-файрвол блокировал попытки ее использовать. Тогда Кэрролл обратился к Claude Opus 4.7, который предложил способ обойти защиту и написал скрипт для доступа к внутренним данным.
По словам Кэролла, уязвимость могла открыть доступ к сотням баз данных с именами, адресами и электронной почтой миллионов клиентов, а также к данным сотрудников Front Gate. Банковские карты в этих данных не содержались. Получив доступ к учетным записям персонала, исследователь смог захватить аккаунт администратора и добавить в корзину бесплатные билеты на фестивали, но не завершал оформление заказа.

Front Gate заявила, что исследователь получил доступ не к публичной части сервиса, а к внутреннему API, который используют сканеры билетов на площадках. Компания также утверждает, что любые изменения в учетных записях сотрудников вызывают предупреждения, а незаконно выпущенные билеты можно было бы отследить и аннулировать до использования.
Исследователь считает, что инцидент показывает, насколько ИИ ускоряет поиск уязвимостей. Он участвовал в программе Anthropic Cyber Verification Program, которая дает проверенным исследователям доступ к расширенным возможностям Claude для тестирования безопасности. Anthropic заявила, что вне этой программы подобное использование модели было бы обнаружено и заблокировано.
«Есть большая вероятность, что модель могла бы найти эту уязвимость от начала до конца вообще без моего участия», — сказал Кэрролл. При этом исследователь отметил, что в системе не было двухфакторной аутентификации для административных аккаунтов. По его словам, даже без найденной уязвимости скомпрометированный пароль сотрудника мог дать злоумышленнику доступ к выпуску бесплатных билетов.



Релоцировались? Теперь вы можете комментировать без верификации аккаунта.