Início Tecnologia Pesquisador Descobre Falha que Permitia Emitir Ingressos Gratis para Quase Todos os Festivais de Música dos EUA
Tecnologia

Pesquisador Descobre Falha que Permitia Emitir Ingressos Gratis para Quase Todos os Festivais de Música dos EUA

Share
Fonte: Feed: All Latest
Share

Um pesquisador de segurança descobriu uma vulnerabilidade crítica nos sistemas de emissão de ingressos de quase todos os principais festivais de música dos Estados Unidos. Utilizando a inteligência artificial Claude Opus 4.7, da empresa Anthropic, ele conseguiu acesso não autorizado aos sistemas da Front Gate Tickets, empresa responsável pela venda de bilhetes de eventos como Lollapalooza, Bonnaroo e Austin City Limits.

Ian Carroll, que também é fundador da startup Seates.aero, explicou que a falha permitia emitir qualquer tipo de ingresso, incluindo pacotes VIP no valor de até quatro mil dólares, sem qualquer restrição. "Pude ver um ingresso de quatro mil dólares e simplesmente apertar um botão para emitir quantos quisesse", afirmou o pesquisador. "Poderia ir a todos os eventos sem limitações, incluindo os passes de bastidores para super VIPs, mesmo quando esgotados."

O pesquisador encontrou o que parecia ser uma vulnerabilidade de injeção SQL no site da Front Gate, mas um firewall de aplicação web bloqueava a exploração. Foi então que pediu ajuda à inteligência artificial, que imediatamente criou uma técnica para contornar a proteção. "Foi a primeira vez que tive uma vulnerabilidade que não entendia completamente", lembrou Carroll. "Tive que voltar e ler o que a IA havia escrito para entender o método, pois não fui eu quem o criou."

A inteligência artificial descobriu que uma consulta SQL aninhada poderia escapar da detecção do firewall. Em pouco tempo, a ferramenta escreveu um script que exibia amostras de uma tabela com quinhentos bancos de dados contendo informações expostas de clientes. No total, a vulnerabilidade daria acesso a dados de milhões de clientes, incluindo nomes, endereços de email e endereços postais, embora não dados de cartões de crédito.

Com acesso aos dados dos funcionários, Carroll descobriu que poderia assumir contas de staff. Ele buscou uma conta de super administrador, clicou na opção de redefinição de senha e conseguiu encontrar o código de redefinição enviado para o email do administrador, armazenado no backend do site. Assim, redefiniu a senha e obteve controle total da conta.

O pesquisador decidiu não explorar a falha para emissão própria de ingressos e, em vez disso, reportou a descoberta à empresa. A Front Gate confirmou que a vulnerabilidade foi corrigida em 24 horas e que não há evidências de exploração, impacto nos ingressos ou comprometimento de dados de clientes.

A empresa agradeceu o pesquisador pela divulgação responsável e descreveu o incidente como uma colaboração bem-sucedida que resultou em melhorias na segurança. A Front Gate argumentou que suas salvaguardas de segurança limitavam a exposição de informações pessoais e que quaisquer ingressos fraudulentos deixariam rastros de auditoria.

Carroll, no entanto, questiona essas afirmações. Ele destaca que conseguiu privilégios de super administrador sem qualquer resposta detectável da empresa e que acessou o site por meio de um portal de login público. "Existe apenas essa empresa centralizada emitindo todos os ingressos para todos os festivais", observou. "E mesmo sem essa vulnerabilidade, se você soubesse a senha de alguém, poderia simplesmente fazer login sem verificação alguma e emitir ingressos gratuitos."

O pesquisador também expressou preocupação com o fato de a empresa não parecer ter feito auditorias adequadas em seu site para vulnerabilidades simples. "Parece preocupante quando você pensa que esses festivais muito profissionais com websites profissionais são bem administrados", disse. "Aí você obtém acesso e percebe que tudo está mantido junto com fita adesiva e preces."

Fonte: Feed: All Latest

Share
Artigos relacionados
Tecnologia

Mistério espacial: O que aconteceu com o braço robótico da sonda Viking usado há 50 anos?

Michael Collins olhou para o relógio. O astronauta do Apollo 11 já...

Tecnologia

Auditoria da NASA indica que cápsula Starliner da Boeing atrasará uma década

O inspetor geral da NASA divulgação nesta terça-feira uma auditoria detalhada sobre...

Tecnologia

Plano de centro de dados de 150MW no norte da Alemanha enfrenta oposição local

A proposta de construir um centro de dados de grande porte na...

Tecnologia

Meta planeja monetizar excesso de capacidade de computação para IA e entrar no mercado de nuvem

A Meta, empresa responsável pelo Facebook, Instagram e WhatsApp, investiu bilhões de...