Um pesquisador de segurança descobriu uma vulnerabilidade crítica nos sistemas de emissão de ingressos de quase todos os principais festivais de música dos Estados Unidos. Utilizando a inteligência artificial Claude Opus 4.7, da empresa Anthropic, ele conseguiu acesso não autorizado aos sistemas da Front Gate Tickets, empresa responsável pela venda de bilhetes de eventos como Lollapalooza, Bonnaroo e Austin City Limits.
Ian Carroll, que também é fundador da startup Seates.aero, explicou que a falha permitia emitir qualquer tipo de ingresso, incluindo pacotes VIP no valor de até quatro mil dólares, sem qualquer restrição. "Pude ver um ingresso de quatro mil dólares e simplesmente apertar um botão para emitir quantos quisesse", afirmou o pesquisador. "Poderia ir a todos os eventos sem limitações, incluindo os passes de bastidores para super VIPs, mesmo quando esgotados."
O pesquisador encontrou o que parecia ser uma vulnerabilidade de injeção SQL no site da Front Gate, mas um firewall de aplicação web bloqueava a exploração. Foi então que pediu ajuda à inteligência artificial, que imediatamente criou uma técnica para contornar a proteção. "Foi a primeira vez que tive uma vulnerabilidade que não entendia completamente", lembrou Carroll. "Tive que voltar e ler o que a IA havia escrito para entender o método, pois não fui eu quem o criou."
A inteligência artificial descobriu que uma consulta SQL aninhada poderia escapar da detecção do firewall. Em pouco tempo, a ferramenta escreveu um script que exibia amostras de uma tabela com quinhentos bancos de dados contendo informações expostas de clientes. No total, a vulnerabilidade daria acesso a dados de milhões de clientes, incluindo nomes, endereços de email e endereços postais, embora não dados de cartões de crédito.
Com acesso aos dados dos funcionários, Carroll descobriu que poderia assumir contas de staff. Ele buscou uma conta de super administrador, clicou na opção de redefinição de senha e conseguiu encontrar o código de redefinição enviado para o email do administrador, armazenado no backend do site. Assim, redefiniu a senha e obteve controle total da conta.
O pesquisador decidiu não explorar a falha para emissão própria de ingressos e, em vez disso, reportou a descoberta à empresa. A Front Gate confirmou que a vulnerabilidade foi corrigida em 24 horas e que não há evidências de exploração, impacto nos ingressos ou comprometimento de dados de clientes.
A empresa agradeceu o pesquisador pela divulgação responsável e descreveu o incidente como uma colaboração bem-sucedida que resultou em melhorias na segurança. A Front Gate argumentou que suas salvaguardas de segurança limitavam a exposição de informações pessoais e que quaisquer ingressos fraudulentos deixariam rastros de auditoria.
Carroll, no entanto, questiona essas afirmações. Ele destaca que conseguiu privilégios de super administrador sem qualquer resposta detectável da empresa e que acessou o site por meio de um portal de login público. "Existe apenas essa empresa centralizada emitindo todos os ingressos para todos os festivais", observou. "E mesmo sem essa vulnerabilidade, se você soubesse a senha de alguém, poderia simplesmente fazer login sem verificação alguma e emitir ingressos gratuitos."
O pesquisador também expressou preocupação com o fato de a empresa não parecer ter feito auditorias adequadas em seu site para vulnerabilidades simples. "Parece preocupante quando você pensa que esses festivais muito profissionais com websites profissionais são bem administrados", disse. "Aí você obtém acesso e percebe que tudo está mantido junto com fita adesiva e preces."
Fonte: Feed: All Latest
