Новости Claude открыл дорогу к бесплатным VIP-билетам на главные фестивали США

NewsMaker

I'm just a script
Премиум
28,049
46
8 Ноя 2022
Хакер через SQL-инъекцию получил доступ к базе Front Gate Tickets с сотнями таблиц.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
3rxrbxuq16xrfwjf2ljj6o57sxa8smci.jpg

ИИ-помощник помог исследователю пройти через защиту билетной платформы и показать, как одна ошибка могла открыть бесплатный доступ почти на любой крупный музыкальный фестиваль в США. Белый хакер Иэн Кэрролл рассказал , что Claude от Anthropic помог найти и использовать SQL-инъекцию в Front Gate Tickets, сервисе Live Nation для продажи билетов на Lollapalooza, Bonnaroo, Austin City Limits, Electric Daisy Carnival и South by Southwest.

По словам Кэрролла, уязвимость находилась в API для устройств Front Gate Tickets. Параметр deviceUID попадал в запросы к базе данных без нормальной проверки, из-за чего внешний пользователь мог вмешаться в работу SQL-запросов. Сначала попытки исследователя блокировал межсетевой экран веб-приложений, но Кэрролл обратился к Claude Opus 4.7 и попросил найти другой путь.

Модель, как утверждает исследователь, заметила слабое место в защите: фильтр проверял только внешний уровень SQL-запроса. После помещения вредоносного запроса во вложенный подзапрос защита пропустила полезную нагрузку, а исследователь получил доступ к базе данных с более чем 500 таблицами.

В открывшихся данных находились учетные записи сотрудников и активные токены для сброса паролей. Через найденные токены Кэрролл смог получить права администратора и теоретически выпускать билеты на любые мероприятия, проходившие через Front Gate Tickets. Среди доступных вариантов исследователь нашел платиновый билет Bonnaroo стоимостью около $4000, который можно было создавать без ограничения по количеству.

Кэрролл подчеркнул в своем разборе , что не выпускал и не использовал реальные билеты, а остановился после подтверждения проблемы. По оценке исследователя, одного публичного API-запроса хватало, чтобы получить администраторский доступ к EDC, Bonnaroo и другим фестивалям на платформе, просматривать клиентские записи, внутренние учетные данные и перехватывать аккаунты через действующие токены сброса пароля.

Front Gate Tickets получила отчет 25 апреля и закрыла уязвимость на следующий день. Компания заявила, что не нашла признаков прежней эксплуатации и выпуска поддельных билетов. Представители Front Gate также снизили оценку возможного ущерба: по их словам, мошеннические билеты оставили бы след в журнале аудита, после чего компания смогла бы отменить билеты до прохода на мероприятие.

Инцидент снова показал интерес злоумышленников к билетным сервисам. В мае 2024 года группа ShinyHunters заявила о взломе Ticketmaster, другого продукта Live Nation, и похищении данных 560 млн пользователей из облачной базы стороннего поставщика. Хакеры тогда потребовали $500 000 выкупа, а Live Nation подтвердила инцидент с изолированной базой данных подрядчика.
 
Источник новости
www.securitylab.ru

Похожие темы