Un esperimento di sicurezza ha rivelato una vulnerabilità critica nel sistema di biglietteria di Front Gate Tickets, la piattaforma che gestisce quasi tutti i principali festival musicali statunitensi come Lollapalooza, Bonnaroo e Austin City Limits. Il ricercatore Ian Carroll, fondatore di Seats.aero e membro del programma Cyber Verification di Anthropic, ha utilizzato il modello AI Claude Opus 4.7 per superare le barriere di sicurezza e ottenere accesso completo ai database, con la possibilità di emettere biglietti di qualsiasi valore per qualsiasi evento, inclusi pass VIP e backstage.
Una SQL injection elusa grazie a un nested SQL query generato da Claude
Carroll ha individuato una potenziale vulnerabilità di SQL injection nel sito web di Front Gate, ma un firewall applicativo ne bloccava lo sfruttamento. Ha quindi chiesto a Claude Opus 4.7 di trovare un bypass. L'AI ha generato autonomamente un attacco basato su nested SQL query, una query SQL annidata all'interno di un'altra, che ha eluso il firewall. "È stata la prima volta in cui mi sono trovato di fronte a una vulnerabilità che non capivo completamente. Ho dovuto leggere il codice scritto da Claude per capire il bypass", ha dichiarato Carroll. Una volta superata la protezione, l'AI ha estratto campioni di dati da 500 database contenenti informazioni di milioni di clienti, inclusi nomi, email e indirizzi postali, ma non dettagli di carte di credito.
Sponsored Protocol
Accesso ai profili degli amministratori e generazione di biglietti senza limiti
Con l'accesso ai dati dello staff, Carroll è riuscito a individuare un account di super amministratore e a reimpostarne la password sfruttando il codice di reset inviato via email, visibile nel backend. Una volta dentro, ha potuto visualizzare i biglietti più costosi per Bonnaroo, da 4.000 dollari ciascuno, e aggiungerli come "comp" a un carrello virtuale. "Potevo andare a ogni singolo evento senza limitazioni: ottenere il pass backstage o ciò che vendono ai super VIP, anche se esaurito", ha spiegato. Per non oltrepassare il confine legale, non ha completato l'ordine. L'assenza di autenticazione a due fattori ha reso l'intero processo sorprendentemente semplice.
Sponsored Protocol
Front Gate Tickets conferma la patch in 24 ore, ma il caso solleva dubbi sulla sicurezza dei festival
Front Gate, controllata da Live Nation Entertainment, ha ringraziato Carroll per la segnalazione e ha dichiarato di aver risolto la falla entro 24 ore, senza prove di sfruttamento. Il portavoce ha sostenuto che l'accesso riguardava un'API interna e non un sistema consumer, e che eventuali biglietti fraudolenti sarebbero stati rilevati. Carroll contesta queste affermazioni, sottolineando di aver ottenuto privilegi da super amministratore senza alcuna reazione da parte dell'azienda e di aver effettivamente utilizzato un portale pubblico per accedere. La vicenda dimostra quanto l'AI possa agevolare la scoperta di vulnerabilità. Come sottolineato da Carroll, "grandi festival con siti professionali sembrano tenuti insieme con nastro adesivo e preghiere". Eventi come quello riportato nell'articolo su Anthropic e la Casa Bianca evidenziano la crescente rilevanza di questi temi. La facilità con cui Claude ha generato l'attacco, come dimostrato anche da ex ricercatori DeepMind, suggerisce che strumenti AI simili potrebbero essere usati da malintenzionati. Ulteriori dettagli sono disponibili nell'articolo originale di WIRED.
Sponsored Protocol