Un ricercatore ha utilizzato un assistente AI per trovare una vulnerabilità di SQL Injection in Front Gate Tickets, permettendo l'accesso gratuito a festival musicali come Lollapalooza e Bonnaroo. La falla è stata corretta
Un assistente basato sull’intelligenza artificiale ha aiutato un ricercatore a eludere le misure di sicurezza di una piattaforma di biglietteria e a dimostrare come una singola falla potesse sbloccare l’accesso gratuito a quasi tutti i principali festival musicali negli Stati Uniti.
L’hacker etico Ian Carroll ha riferito che Claude di Anthropic ha contribuito a trovare e sfruttare una vulnerabilità di SQL injection in Front Gate Tickets, il servizio di biglietteria di Live Nation per Lollapalooza, Bonnaroo, Austin City Limits, Electric Daisy Carnival e South by Southwest.
Secondo Carroll, la vulnerabilità risiedeva nell’API del dispositivo Front Gate Tickets. Il parametro deviceUID veniva incluso nelle query del database senza un’adeguata convalida, consentendo a un utente esterno di manomettere le query SQL. Inizialmente, i tentativi del ricercatore furono bloccati da un Web Application Firewall, ma Carroll si rivolse a Claude Opus 4.7 chiedendo una soluzione alternativa.
Advertising
Secondo il ricercatore, il modello ha rilevato una vulnerabilità nella sicurezza: il filtro controllava solo lo strato più esterno della query SQL. Dopo aver inserito la query dannosa in una sottoquery annidata, il filtro di sicurezza ha permesso il passaggio del payload, consentendo al ricercatore di accedere a un database con oltre 500 tabelle.
I dati esposti contenevano account di dipendenti e token di reimpostazione della password attivi. Utilizzando questi token, Carroll è stato in grado di ottenere i diritti di amministratore e, in teoria, di emettere biglietti per qualsiasi evento organizzato tramite Front Gate Tickets. Tra le opzioni disponibili, il ricercatore ha trovato un biglietto Platinum per il Bonnaroo del valore di circa 4.000 dollari, che poteva essere creato in quantità illimitate.
Nella sua analisi, Carroll ha sottolineato di non aver emesso né utilizzato biglietti reali, ma di aver smesso di farlo dopo aver confermato il problema. Secondo il ricercatore, una singola richiesta API pubblica era sufficiente per ottenere l’accesso amministrativo a EDC, Bonnaroo e altri festival presenti sulla piattaforma, visualizzare i dati dei clienti, le credenziali interne e impossessarsi degli account tramite token di reimpostazione della password validi.
Front Gate Tickets ha ricevuto la segnalazione il 25 aprile e ha corretto la vulnerabilità il giorno successivo. L’azienda ha dichiarato di non aver trovato prove di precedenti violazioni o emissione di biglietti falsi. I rappresentanti di Front Gate hanno inoltre ridimensionato la stima dei potenziali danni: hanno affermato che i biglietti fraudolenti avrebbero lasciato una traccia nel registro di controllo, dopodiché l’azienda avrebbe potuto annullarli prima dell’accesso all’evento.
L’incidente ha evidenziato ancora una volta l’interesse degli hacker per i servizi di biglietteria e per l’intelligenza artificiale Nel maggio 2024, il gruppo ShinyHuntersha riferito di aver violato Ticketmaster, un altro prodotto di Live Nation, e di aver rubato i dati di 560 milioni di utenti da un fornitore di servizi cloud di terze parti. Gli hacker hanno chiesto un riscatto di 500.000 dollari e Live Nation ha confermato la violazione del database isolato del fornitore.
Advertising
Inoltre, il problema del “dual-use” sta diventando serio in quanto attraverso l’utilizzo dell’intelligenza artificiale, i neo criminali informatici possono essere accelerati nelle loro attività malevole.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza:Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.