FOXreport.gr

Πώς το Claude AI βοήθησε ερευνητή να «σπάσει» το σύστημα εισιτηρίων των μεγαλύτερων αμερικανικών φεστιβάλ

Εικόνα: Claude AI

Ένα σοβαρό κενό ασφαλείας στην πλατφόρμα Front Gate Tickets (FGT), θυγατρική των Live Nation και Ticketmaster, επέτρεπε την πλήρη πρόσβαση στα διαχειριστικά συστήματα που χρησιμοποιούνται για την έκδοση εισιτηρίων σε μερικά από τα μεγαλύτερα μουσικά φεστιβάλ των ΗΠΑ, όπως τα EDC, Bonnaroo και Outside Lands.

Το πρόβλημα εντόπισε ο ερευνητής ασφαλείας Ian Carroll, ο οποίος χρησιμοποίησε το μοντέλο τεχνητής νοημοσύνης Claude της Anthropic για να αναλύσει το σύστημα και να παρακάμψει τους μηχανισμούς προστασίας.

Το κενό ασφαλείας εντοπίστηκε σε API της πλατφόρμας

Κατά τη διάρκεια ελέγχων στο API της Front Gate Tickets, ο ερευνητής διαπίστωσε ότι συγκεκριμένα endpoints που περιείχαν τη λέξη «device» ζητούσαν μια παράμετρο με την ονομασία deviceUID.

Οι δοκιμές έδειξαν ότι μια απλή αριθμητική τιμή λειτουργούσε κανονικά, όμως η προσθήκη ενός αποστρόφου προκαλούσε καθυστέρηση στην απόκριση του συστήματος. Η συμπεριφορά αυτή αποτέλεσε ένδειξη ότι η τιμή της παραμέτρου ενσωματωνόταν απευθείας σε εντολές SQL χωρίς κατάλληλο έλεγχο, δημιουργώντας μια ευπάθεια SQL Injection.

Η Claude AI βοήθησε να παρακαμφθεί το σύστημα προστασίας

Το συγκεκριμένο API προστατευόταν από Web Application Firewall (WAF) της AWS, γεγονός που απέτρεπε τις συνηθισμένες τεχνικές εκμετάλλευσης.

Ο ερευνητής αξιοποίησε την Claude Code με το μοντέλο Opus, η οποία εντόπισε ότι το WAF έλεγχε μόνο το εξωτερικό επίπεδο των δεδομένων εισόδου. Έτσι, ειδικά διαμορφωμένα SQL payloads μπορούσαν να «κρυφτούν» μέσα σε υποερωτήματα και να παρακάμψουν την προστασία.

Καθώς η εφαρμογή δεν εμφάνιζε τα αποτελέσματα των ερωτημάτων, δημιουργήθηκε μια τεχνική blind SQL injection, η οποία επέτρεπε την εξαγωγή πληροφοριών παρατηρώντας μόνο τις διαφορετικές αποκρίσεις του συστήματος.

Πρόσβαση σε εκατοντάδες πίνακες δεδομένων

Σύμφωνα με τον ερευνητή, η βάση δεδομένων περιείχε περισσότερους από 500 πίνακες με ευαίσθητες πληροφορίες.

Μεταξύ αυτών υπήρχαν στοιχεία εργαζομένων, διευθύνσεις ηλεκτρονικού ταχυδρομείου, κωδικοί πρόσβασης, δικαιώματα χρηστών, password reset tokens, καθώς και ενεργά authentication και API tokens.

Αξιοποιώντας έναν ενεργό κωδικό επαναφοράς πρόσβασης, ο ερευνητής απέκτησε πρόσβαση σε λογαριασμό διαχειριστή χωρίς να γνωρίζει τον πραγματικό κωδικό πρόσβασης.

Δυνατότητα έκδοσης απεριόριστων δωρεάν εισιτηρίων

Η πρόσβαση διαχειριστή επέτρεπε θεωρητικά την έκδοση απεριόριστων δωρεάν εισιτηρίων για οποιοδήποτε φεστιβάλ που χρησιμοποιούσε την πλατφόρμα.

Επιπλέον, θα μπορούσε να πραγματοποιηθεί αναζήτηση στις βάσεις δεδομένων πελατών, να προβληθούν παραγγελίες, αλλά και να καταληφθούν λογαριασμοί εργαζομένων ή χρηστών μέσω των διαθέσιμων password reset tokens.

Ο ερευνητής διευκρίνισε ότι δεν προχώρησε σε μαζική εξαγωγή δεδομένων, καθώς θεώρησε ότι είχε ήδη αποδείξει την κρισιμότητα της ευπάθειας.

Η εταιρεία διόρθωσε άμεσα το πρόβλημα

Σύμφωνα με την αναφορά, η Front Gate Tickets δεν διέθετε δημόσια διαθέσιμο κανάλι επικοινωνίας για αναφορές ασφαλείας, με αποτέλεσμα ο ερευνητής να αναζητήσει μόνος του κατάλληλη διεύθυνση ηλεκτρονικού ταχυδρομείου για υπεύθυνη γνωστοποίηση.

Η εταιρεία φέρεται να επιδιόρθωσε γρήγορα το πρόβλημα και ανέφερε ότι σχεδιάζει τη δημιουργία προγράμματος επιβράβευσης ερευνητών ασφαλείας (bug bounty).

Η τεχνητή νοημοσύνη αλλάζει την έρευνα κυβερνοασφάλειας

Η συγκεκριμένη υπόθεση αναδεικνύει τον ολοένα και σημαντικότερο ρόλο των προηγμένων μοντέλων τεχνητής νοημοσύνης στην έρευνα κυβερνοασφάλειας.

Σύμφωνα με τον ερευνητή, η Claude AI δεν πραγματοποίησε την επίθεση αυτόνομα, αλλά συνέβαλε στην ανάλυση της λειτουργίας του WAF και στην ανάπτυξη της κατάλληλης μεθόδου εκμετάλλευσης.

Το περιστατικό δείχνει ότι τα σύγχρονα εργαλεία τεχνητής νοημοσύνης μπορούν να επιταχύνουν σημαντικά τον εντοπισμό πολύπλοκων ευπαθειών, γεγονός που αυξάνει τόσο τις δυνατότητες των ερευνητών ασφαλείας όσο και τις προκλήσεις που αντιμετωπίζουν οι οργανισμοί στην προστασία των πληροφοριακών τους συστημάτων.

Exit mobile version