Cosa ha fatto davvero il ricercatore?
Ian Carroll è andato a caccia di falle in Front Gate Tickets, il ramo di biglietteria che Live Nation e la sua divisione Ticketmaster usano per una lunga lista di festival americani. Ha individuato un endpoint dell'API rivolto ai dispositivi, quello con cui parlano gli scanner ai cancelli, e un parametro chiamato deviceUID che non ripuliva i propri input. La piattaforma era protetta da un firewall, un AWS WAF, che leggeva solo lo strato esterno di una richiesta. Carroll ha usato il Claude di Anthropic per infilare il codice malevolo dentro una sottoquery annidata, e il payload è passato senza intoppi. Da lì è diventato un oracolo booleano, una domanda vero o falso alla volta, finché il database non ha rivelato la propria struttura.
Quanto era grave l'accesso?
Grave. Il database interno aveva oltre 500 tabelle: credenziali dello staff, ordini dei clienti e una tabella di token di reimpostazione attivi, riscattabili per dirottare account. Con questo, Carroll dice che poteva emettere a sé stesso biglietti per qualsiasi evento, di qualsiasi valore, e frugare tra le schede dei clienti a volontà. Una semplice ricerca su "chris" restituiva migliaia di persone. È la spina dorsale degli ingressi di EDC, Bonnaroo e Outside Lands, a una sola richiesta non autenticata da una presa di controllo totale.
Il firewall leggeva solo l'esterno della richiesta. Il danno vero era un livello più sotto.
Perché a rispondere è Ticketmaster?
Perché Front Gate Tickets è loro. Live Nation e Ticketmaster difendono da anni la loro presa sul live in nome della scala e della sicurezza, ed è la stessa casa la cui fuga di dati ha esposto milioni di persone nel 2024. La concentrazione è stata venduta come garanzia. Ecco una piattaforma di Live Nation che faceva girare il sistema d'ingresso di quasi ogni grande festival statunitense su codice con una SQL injection non autenticata. Carroll l'ha segnalata il 25 aprile, Front Gate l'ha corretta in circa un giorno e afferma che nulla indica che qualcuno di ostile l'abbia trovata prima. Il resoconto pubblico è uscito il 1 luglio.
Cosa significa per la pista
Due cose. Primo, l'IA non è entrata da sola. La guidava Carroll; Claude ha accorciato il pomeriggio trovando l'aggiramento del firewall che a un umano sarebbe costato più tempo. Lavora dentro il programma di ricercatori verificati di Anthropic, che, secondo l'azienda, avrebbe bloccato questa attività per chiunque all'esterno. Secondo, quando una sola azienda possiede i tubi di quasi tutto il mercato, un bug è il bug di tutti. Il braccialetto al tuo polso vale quanto vale l'endpoint meno controllato che ci sta dietro.



