Исследователь Иэн Кэрролл осуществил взлом ИТ-системы Front Gate Tickets – платформы для покупки билетов на большинство крупных музыкальных фестивалей в США. Ему удалось получить доступ с правами суперадминистратора. В этом ему помогла модель Claude Opus 4.7.

Напоминаем, что Front Gate является собственностью Live Nation – той же организации, которая управляет Ticketmaster – и занимается продажей билетов на мероприятия, такие как Lollapalooza, South by Southwest, Austin City Limits и многие другие. Уязвимость, выявленная исследователем, предоставляла доступ не только к билетам, но и к данным миллионов клиентов и сотрудников компании – именам, адресам электронной почты и почтовым адресам (данные банковских карт не были затронуты). В конечном итоге, благодаря нейросети, Кэрролл смог одним нажатием кнопки без оплаты получить билет любой стоимости – до $4000 за штуку, сообщает издание Wired.
Саму уязвимость Кэрролл обнаружил самостоятельно, однако пробиться к ней мешал файрволл. Тогда он попросил Claude найти способ обойти защиту – и модель самостоятельно разработала метод с вложенным SQL-запросом, который не распознавался файрволлом. По словам Кэрролла, он даже не сразу понял, как работает обход: ему пришлось анализировать код, написанный не им, а Claude. Получив доступ к данным сотрудников, Кэрролл нашел учетную запись суперадминистратора, запросил сброс пароля и извлек код подтверждения прямо из базы данных на бэкенде сайта, а двухфакторной аутентификации, которая могла бы предотвратить это, на сайте не было.
Кэрролл добавил в корзину самый дорогой билет на Bonnaroo, который ему удалось найти, но не завершил покупку – он испугался, что это может быть расценено как мошенничество. О своей находке он уведомил напрямую Front Gate. Компания устранила уязвимость в течение суток.
В то же время, согласно данным компании Check Point Software, программы-вымогатели используют открытую уязвимость в средствах безопасности, применяемых в федеральном правительстве США. В связи с этим Агентство кибербезопасности США (CISA) потребовало от всех гражданских структур срочно устранить данную проблему.
34% ИБ-специалистов используют ИИ в своей работе

