Claude ayuda a los piratas informáticos a descubrir cómo emitir entradas para casi todos los festivales de música de EE. UU.


Como investigador de seguridad que se especializa en encontrar vulnerabilidades web, decidió buscar errores en el dominio web de Front Gate. Rápidamente descubrió lo que parecía ser una vulnerabilidad de inyección SQL: una falla común que permite a los piratas informáticos ingresar comandos en campos de texto en sitios web, lo que hace que se ejecuten en el backend del sitio y, a veces, envíen los datos almacenados allí a la base de datos. Pero el firewall de la aplicación web del sitio aparentemente le impidió explotarlo.

Entonces le pidió a Claude Opus 4.7, el modelo de IA antrópica más avanzado disponible para el público en general en ese momento, que encontrara una manera de explotar la debilidad. Codifica inmediatamente técnicas de piratería que eluden los cortafuegos. “Esta fue la primera vez que tuve una vulnerabilidad que no entendía completamente”, dijo Carroll. “Tuve que volver atrás y leer lo que escribió Claude para entender el bypass, porque yo no lo escribí. Claude lo hizo completamente solo”.

De hecho, Claude había descubierto que las “consultas SQL anidadas” (consultas SQL dentro de otras consultas SQL) podían evadir la detección del firewall. La herramienta de inteligencia artificial escribió inmediatamente un script que mostraba una muestra de las 500 tablas de la base de datos con información de clientes expuesta. En total, Carroll cree que las vulnerabilidades que él y Claude descubrieron habrían dado acceso a la información de millones de clientes, incluidos nombres, correos electrónicos y direcciones postales, pero no a detalles de tarjetas de crédito, así como al personal de Front Gate.

Al tener acceso a los datos del personal, Carroll rápidamente se dio cuenta de que también podía hacerse cargo de las cuentas del personal. Buscó la cuenta de superadministrador, hizo clic en la opción para restablecer su contraseña y pudo encontrar el código de restablecimiento que el sitio envió al correo electrónico del administrador almacenado en el backend del sitio. Luego lo usó para confirmar el restablecimiento, establecer una nueva contraseña y hacerse cargo de la cuenta de administrador.

Pronto vio el billete más caro que pudo encontrar para Bonnaroo y lo añadió como billete gratis a una especie de carrito de compras. “Parece que puedes hacer eso para cualquier evento que quieras”, dijo Carroll. (En realidad, no completó el pedido ni emitió ninguna multa por temor a cruzar la línea y ser acusado de fraude).

Carroll se sorprendió de lo fácil que era su método de adquisición: no había autenticación de dos factores para evitar que una contraseña filtrada, robada o adivinada le diera a alguien acceso completo. “Sólo hay una empresa centralizada que emite todas las entradas para cada festival”, dijo Carroll. “E incluso sin esta vulnerabilidad, si conocieras la contraseña de alguien, podrías iniciar sesión sin ninguna verificación y emitir boletos gratis”.

Quizás lo más notable, dijo Carroll, es que Front Gate no parece estar auditando adecuadamente sus sitios en busca de vulnerabilidades simples, ya sea con cazadores humanos o con la IA que aparentemente ahora hace que el proceso de búsqueda de errores sea tan fácil.

“Es preocupante pensar que este festival de música altamente profesional con un sitio web profesional está tan bien administrado”, dijo Carroll. “Luego tienes acceso y te das cuenta de que todo se mantiene unido mediante cinta adhesiva y oraciones”.

Actualización: 1/7/2026, 4:56 p.m. EST: Esta historia se actualizó para incluir información proporcionada por Front Gate luego de la publicación sobre la pulsera RFID y para aclarar un punto sobre el acceso de Carroll a la red Front Gate.



Source link