- Un cercetător a demonstrat că poate sparge sistemul de bilete Front Gate cu ajutorul AI-ului Claude, generând bilete valabile pentru festivaluri uriașe.
Un cercetător în securitate a reușit să exploateze o vulnerabilitate în platforma de ticketing Front Gate, folosită de aproape toate festivalurile majore din Statele Unite, inclusiv Lollapalooza și Bonnaroo. Ajutat de modelul Claude Opus 4.7 de la Anthropic, acesta a putut emite bilete fictive, fără restricții.
Ce s-a întâmplat exact
Expertul a descoperit că interfața web a Front Gate era susceptibilă la un atac de tip „IDOR” (Insecure Direct Object Reference). Folosind Claude pentru a genera și testa rapid variante de cereri HTTP, a reușit să modifice parametrii unei comenzi de emitere a biletelor. În câteva minute, AI-ul a identificat combinația corectă, permițându-i să creeze bilete valabile pentru orice eveniment din sistem.
Rolul AI-ului în atac
Deși vulnerabilitatea exista independent, Claude a accelerat descoperirea și exploatarea sa. Cercetătorul a subliniat că un programator obișnuit ar fi putut găsi aceeași breșă, dar AI-ul a redus timpul de la ore la minute. „Claude a acționat ca un asistent care generează și testează sute de variante de cereri”, a explicat el.
Implicații pentru securitate
Incidentul scoate la iveală cât de ușor pot fi exploatate sistemele slab securizate cu ajutorul inteligenței artificiale. Specialiștii atrag atenția că atacatorii pot folosi modele AI pentru a găsi vulnerabilități în aplicații web, ceea ce sporește riscul pentru platformele care nu au măsuri de protecție solide.
Ce inseamna pentru tine
- Dacă folosești servicii de ticketing online, alege platforme care implementează autentificare puternică și autorizare pe fiecare cerere.
- Fii atent la ofertele prea bune de bilete – acestea ar putea proveni din exploatarea unor breșe similare.
- Urmărește actualizările de securitate ale aplicațiilor pe care le utilizezi, mai ales după dezvăluiri publice de vulnerabilități.