Was hat der Forscher tatsächlich getan?

Ian Carroll suchte gezielt nach Lücken in Front Gate Tickets, dem Ticketing-Arm, den Live Nation und seine Ticketmaster-Sparte für eine lange Liste amerikanischer Festivals nutzen. Er fand einen geräteseitigen API-Endpunkt, mit dem die Scanner an den Toren sprechen, und einen Parameter namens deviceUID, der seine Eingaben nicht bereinigte. Die Plattform lag hinter einer Firewall, einer AWS WAF, die nur die äußere Schicht einer Anfrage las. Carroll nutzte Anthropics Claude, um den Schadcode in eine verschachtelte Unterabfrage zu packen, und die Anfrage spazierte durch. Von da an war es ein boolesches Orakel, eine Wahr-oder-falsch-Frage nach der anderen, bis die Datenbank ihre Struktur preisgab.

Wie schlimm war der Zugriff?

Schlimm. Die interne Datenbank hatte über 500 Tabellen: Personal-Logins, Kundenbestellungen und eine Tabelle mit aktiven Reset-Token, die sich einlösen ließen, um Konten zu kapern. Damit, sagt Carroll, konnte er sich selbst Tickets für jedes Event, jeden Werts, ausstellen und in den Kundendaten nach Belieben stöbern. Eine simple Suche nach "chris" lieferte Tausende Menschen. Das ist das Rückgrat des Einlasses von EDC, Bonnaroo und Outside Lands, nur eine nicht authentifizierte Anfrage von der totalen Übernahme entfernt.

Die Firewall las nur die Außenseite der Anfrage. Der eigentliche Schaden lag eine Ebene tiefer.

Warum landet das bei Ticketmaster?

Weil Front Gate Tickets ihnen gehört. Live Nation und Ticketmaster verteidigen ihren Griff aufs Livegeschäft seit Jahren mit Größe und Sicherheit, und es ist dasselbe Haus, dessen Verbraucher-Leck 2024 Millionen offenlegte. Konsolidierung wurde als Sicherheit verkauft. Hier lief auf einer Live-Nation-Plattform das Einlasssystem fast jedes großen US-Festivals auf Code mit einer nicht authentifizierten SQL-Injection. Carroll meldete es am 25. April, Front Gate behob es binnen etwa eines Tages und sagt, es gebe keinen Hinweis, dass jemand Feindliches es zuerst fand. Der öffentliche Bericht kam am 1. Juli.

Was das für die Tanzfläche heißt

Zwei Dinge. Erstens: Die KI hat nichts allein gehackt. Carroll steuerte sie; Claude verkürzte den Nachmittag, indem es die Firewall-Umgehung fand, für die ein Mensch länger gebraucht hätte. Er arbeitet im geprüften Forscherprogramm von Anthropic, das diese Aktivität laut Unternehmen für alle außerhalb blockiert hätte. Zweitens: Wenn eine einzige Firma die Leitungen fast des ganzen Markts besitzt, ist ein Bug der Bug aller. Das Bändchen an deinem Handgelenk ist nur so sicher wie der am wenigsten geprüfte Endpunkt dahinter.