Хакер через SQL-инъекцию получил доступ к базе Front Gate Tickets с сотнями таблиц.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
ИИ-помощник помог исследователю пройти через защиту билетной платформы и показать, как одна ошибка могла открыть бесплатный доступ почти на любой крупный музыкальный фестиваль в США. Белый хакер Иэн Кэрролл рассказал , что Claude от Anthropic помог найти и использовать SQL-инъекцию в Front Gate Tickets, сервисе Live Nation для продажи билетов на Lollapalooza, Bonnaroo, Austin City Limits, Electric Daisy Carnival и South by Southwest.
По словам Кэрролла, уязвимость находилась в API для устройств Front Gate Tickets. Параметр deviceUID попадал в запросы к базе данных без нормальной проверки, из-за чего внешний пользователь мог вмешаться в работу SQL-запросов. Сначала попытки исследователя блокировал межсетевой экран веб-приложений, но Кэрролл обратился к Claude Opus 4.7 и попросил найти другой путь.
Модель, как утверждает исследователь, заметила слабое место в защите: фильтр проверял только внешний уровень SQL-запроса. После помещения вредоносного запроса во вложенный подзапрос защита пропустила полезную нагрузку, а исследователь получил доступ к базе данных с более чем 500 таблицами.
В открывшихся данных находились учетные записи сотрудников и активные токены для сброса паролей. Через найденные токены Кэрролл смог получить права администратора и теоретически выпускать билеты на любые мероприятия, проходившие через Front Gate Tickets. Среди доступных вариантов исследователь нашел платиновый билет Bonnaroo стоимостью около $4000, который можно было создавать без ограничения по количеству.
Кэрролл подчеркнул в своем разборе , что не выпускал и не использовал реальные билеты, а остановился после подтверждения проблемы. По оценке исследователя, одного публичного API-запроса хватало, чтобы получить администраторский доступ к EDC, Bonnaroo и другим фестивалям на платформе, просматривать клиентские записи, внутренние учетные данные и перехватывать аккаунты через действующие токены сброса пароля.
Front Gate Tickets получила отчет 25 апреля и закрыла уязвимость на следующий день. Компания заявила, что не нашла признаков прежней эксплуатации и выпуска поддельных билетов. Представители Front Gate также снизили оценку возможного ущерба: по их словам, мошеннические билеты оставили бы след в журнале аудита, после чего компания смогла бы отменить билеты до прохода на мероприятие.
Инцидент снова показал интерес злоумышленников к билетным сервисам. В мае 2024 года группа ShinyHunters заявила о взломе Ticketmaster, другого продукта Live Nation, и похищении данных 560 млн пользователей из облачной базы стороннего поставщика. Хакеры тогда потребовали $500 000 выкупа, а Live Nation подтвердила инцидент с изолированной базой данных подрядчика.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
ИИ-помощник помог исследователю пройти через защиту билетной платформы и показать, как одна ошибка могла открыть бесплатный доступ почти на любой крупный музыкальный фестиваль в США. Белый хакер Иэн Кэрролл рассказал , что Claude от Anthropic помог найти и использовать SQL-инъекцию в Front Gate Tickets, сервисе Live Nation для продажи билетов на Lollapalooza, Bonnaroo, Austin City Limits, Electric Daisy Carnival и South by Southwest.
По словам Кэрролла, уязвимость находилась в API для устройств Front Gate Tickets. Параметр deviceUID попадал в запросы к базе данных без нормальной проверки, из-за чего внешний пользователь мог вмешаться в работу SQL-запросов. Сначала попытки исследователя блокировал межсетевой экран веб-приложений, но Кэрролл обратился к Claude Opus 4.7 и попросил найти другой путь.
Модель, как утверждает исследователь, заметила слабое место в защите: фильтр проверял только внешний уровень SQL-запроса. После помещения вредоносного запроса во вложенный подзапрос защита пропустила полезную нагрузку, а исследователь получил доступ к базе данных с более чем 500 таблицами.
В открывшихся данных находились учетные записи сотрудников и активные токены для сброса паролей. Через найденные токены Кэрролл смог получить права администратора и теоретически выпускать билеты на любые мероприятия, проходившие через Front Gate Tickets. Среди доступных вариантов исследователь нашел платиновый билет Bonnaroo стоимостью около $4000, который можно было создавать без ограничения по количеству.
Кэрролл подчеркнул в своем разборе , что не выпускал и не использовал реальные билеты, а остановился после подтверждения проблемы. По оценке исследователя, одного публичного API-запроса хватало, чтобы получить администраторский доступ к EDC, Bonnaroo и другим фестивалям на платформе, просматривать клиентские записи, внутренние учетные данные и перехватывать аккаунты через действующие токены сброса пароля.
Front Gate Tickets получила отчет 25 апреля и закрыла уязвимость на следующий день. Компания заявила, что не нашла признаков прежней эксплуатации и выпуска поддельных билетов. Представители Front Gate также снизили оценку возможного ущерба: по их словам, мошеннические билеты оставили бы след в журнале аудита, после чего компания смогла бы отменить билеты до прохода на мероприятие.
Инцидент снова показал интерес злоумышленников к билетным сервисам. В мае 2024 года группа ShinyHunters заявила о взломе Ticketmaster, другого продукта Live Nation, и похищении данных 560 млн пользователей из облачной базы стороннего поставщика. Хакеры тогда потребовали $500 000 выкупа, а Live Nation подтвердила инцидент с изолированной базой данных подрядчика.
- Источник новости
- www.securitylab.ru