Największe festiwale muzyczne w Stanach Zjednoczonych mogły paść ofiarą jednego z najbardziej spektakularnych błędów bezpieczeństwa ostatnich miesięcy. Badacz bezpieczeństwa Ian Carroll twierdzi, że dzięki pomocy modelu Claude AI opracowanego przez Anthropic odkrył podatność w systemie Front Gate Tickets, należącym do Live Nation. Według jego relacji luka dawała możliwość uzyskania uprawnień administratora i tworzenia praktycznie nieograniczonej liczby biletów, także ekskluzywnych wejściówek VIP kosztujących nawet 4000 dolarów.
Choć firma zapewnia, że problem został błyskawicznie usunięty i nie ma dowodów na wcześniejsze wykorzystanie podatności, sprawa wywołała dyskusję o tym, jak sztuczna inteligencja może wspierać badaczy bezpieczeństwa, ale również znacząco ułatwiać analizowanie zabezpieczeń przez osoby o złych zamiarach.
AI pomogła obejść zabezpieczenia
Ian Carroll opisał cały proces na swoim blogu oraz w rozmowie z magazynem Wired. Badacz analizował działanie platformy Front Gate Tickets, wykorzystywanej do sprzedaży wejściówek na wydarzenia takie jak Lollapalooza, Bonnaroo, Austin City Limits, Electric Daisy Carnival czy South by Southwest.
Według Carrolla źródłem problemu był błąd SQL Injection w interfejsie API wykorzystywanym przez urządzenia skanujące bilety. Tego typu podatność pozwala na manipulowanie zapytaniami kierowanymi do bazy danych aplikacji.
Pierwsze próby wykorzystania błędu zostały zatrzymane przez zaporę aplikacyjną. W tym momencie badacz postanowił poprosić o pomoc Claude Opus 4.7. Model AI miał przeanalizować sposób działania zabezpieczeń i zaproponować alternatywną metodę.
Według Carrolla chatbot zasugerował wykorzystanie zagnieżdżonych zapytań SQL, które pozwoliły ominąć filtr sprawdzający jedynie najbardziej zewnętrzną warstwę przesyłanych danych. To właśnie ten element miał otworzyć drogę do dalszej eksploracji systemu.
„Zatrzymałem się w tym miejscu i nie przejrzałem żadnych danych poza tymi, które były potrzebne do potwierdzenia problemu. Sedno sprawy zostało sprostowane: nieuwierzytelnione żądanie do interfejsu API skanera wystarczyło, aby zostać administratorem EDC, Bonnaroo i każdego innego festiwalu na platformie” – napisał Carroll.
Dostęp do setek tabel i kont administratorów
Po przejściu przez zabezpieczenia badacz uzyskał dostęp do rozbudowanej infrastruktury bazy danych. Jak twierdzi, znalazł ponad 500 tabel zawierających informacje wykorzystywane przez platformę.
Wśród nich miały znajdować się dane logowania pracowników, aktywne tokeny resetowania haseł oraz informacje pozwalające przejąć konta administracyjne.
To właśnie dzięki takim uprawnieniom Carroll miał możliwość tworzenia nowych biletów na dowolne wydarzenie obsługiwane przez Front Gate Tickets. Obejmowało to także najdroższe pakiety VIP oraz przepustki za kulisy wydarzeń, których wartość sięgała kilku tysięcy dolarów.
Jak sam przyznał, największe wrażenie zrobiła na nim możliwość wygenerowania biletu Bonnaroo Platinum kosztującego około 4000 dolarów praktycznie jednym kliknięciem.
Badacz zapewnia, że nie wykorzystał luki
Carroll podkreśla, że zakończył testy natychmiast po potwierdzeniu istnienia podatności. Twierdzi, że nie wygenerował żadnych prawdziwych biletów ani nie próbował wejść na jakiekolwiek wydarzenie z wykorzystaniem zdobytych uprawnień.
Według jego relacji celem było wyłącznie udokumentowanie problemu i przekazanie informacji właścicielowi platformy.
Badacz poinformował Front Gate Tickets o luce 25 kwietnia. Już dzień później firma miała wdrożyć poprawkę eliminującą podatność.
Front Gate uspokaja użytkowników
Operator platformy potwierdził otrzymanie zgłoszenia oraz naprawienie błędu. Firma przekazała również, że nie znalazła dowodów wskazujących na wcześniejsze wykorzystanie podatności ani przypadków użycia fałszywych biletów.
Przedstawiciele Front Gate zaznaczyli również, że nawet gdyby ktoś wygenerował nieautoryzowane wejściówki, system pozostawiłby odpowiednie ślady, a bilety mogłyby zostać unieważnione jeszcze przed wykorzystaniem.
Nie zmienia to faktu, że potencjalny zakres podatności był bardzo szeroki. Według Carrolla atakujący mógł uzyskać dostęp do danych klientów, przejmować konta pracowników oraz zarządzać sprzedażą biletów dla wszystkich festiwali korzystających z platformy.
Claude AI ponownie pod lupą
Historia szybko obiegła branżę cyberbezpieczeństwa z jeszcze jednego powodu. Coraz więcej ekspertów wykorzystuje modele językowe jako wsparcie podczas analizy kodu, wyszukiwania błędów i przygotowywania testów penetracyjnych.
Jednocześnie podobne przypadki pokazują, że te same narzędzia mogą znacząco skrócić czas potrzebny na odnalezienie podatności i opracowanie metod ich wykorzystania. To stawia producentów modeli AI przed kolejnym wyzwaniem dotyczącym ograniczania odpowiedzi, które mogłyby ułatwiać prowadzenie ataków.
Live Nation ma już za sobą głośne problemy z bezpieczeństwem
To nie pierwszy incydent związany z infrastrukturą Live Nation. W 2024 roku głośno było o ataku na Ticketmaster, kiedy grupa ShinyHunters ogłosiła przejęcie danych około 560 milionów użytkowników. Firma potwierdziła wtedy naruszenie dotyczące bazy danych przechowywanej u zewnętrznego dostawcy usług chmurowych.
Spodobało Ci się? Podziel się ze znajomymi!


Pokaż / Dodaj komentarze do:
Haker drukował bilety VIP warte tysiące dolarów. Claude AI pomógł znaleźć lukę