VIP-билет даром: исследователь с помощью Claude взломал компанию по продаже билетов на фестивали США
Исследователь Иэн Кэрролл в апреле получил доступ уровня суперадминистратора к системе Front Gate Tickets — компании, которая продает билеты почти на все крупные музыкальные фестивали США, от Lollapalooza до Bonnaroo. Помог ему в этом Claude Opus 4.7: Кэрролл мог одним кликом бесплатно выписать себе билет любой стоимости — вплоть до $4000 за штуку. Подробности взлома он описал в материале WIRED.
Front Gate принадлежит Live Nation — той же компании, что владеет Ticketmaster — и обслуживает продажу билетов практически на все крупные фестивали США: Lollapalooza, South by Southwest, Austin City Limits и десятки других. Уязвимость открывала доступ не только к билетам, но и к данным миллионов клиентов и сотрудников компании — именам, email и почтовым адресам (данные карт затронуты не были).
Кэрролл сам нашел на сайте похожую на SQL-инъекцию уязвимость, но пробить ее мешал файрволл. Тогда он попросил Claude найти способ обойти защиту — и модель самостоятельно написала технику с вложенным SQL-запросом, который файрволл не замечал. По словам Кэрролла, он даже не сразу понял, как работает обход: пришлось разбирать код, который написал не он, а Claude. Получив доступ к данным сотрудников, Кэрролл нашел аккаунт суперадминистратора, запросил сброс пароля и забрал код подтверждения прямо из базы данных на бэкенде сайта, а двухфакторной аутентификации, которая могла бы это остановить, на сайте не было.
Кэрролл добавил в корзину самый дорогой билет на Bonnaroo, какой нашел, но заказ не завершил — испугался, что это можно расценить как мошенничество. О находке он сообщил напрямую Front Gate. Компания закрыла уязвимость за 24 часа и утверждает, что не нашла следов эксплуатации или утечки данных клиентов, назвав случившееся доступом к
Читать на habr.com