یک هکر با Claude راه دریافت بلیت رایگان جشنواره‌های موسیقی آمریکا را پیدا کرد

دیجیاتو چهارشنبه 10 تیر 1405 - 18:32
یک پژوهشگر امنیتی با مدل Claude Opus 4.7 آنتروپیک توانست به سایت فرانت‌گیت نفوذ کند و بلیت‌های رایگان جشنواره‌های موسیقی را به‌دست آورد. The post یک هکر با Claude راه دریافت بلیت رایگان جشنواره‌های موسیقی آمریکا را پیدا کرد appeared first on دیجیاتو.

وقتی صحبت از هک با ابزارهای هوش مصنوعی می‌شود معمولاً ذهنمان سمت سناریوهای تاریک مانند سرقت کد پرتاب موشک هسته‌ای یا خالی‌شدن ذخایر بانک‌ها می‌رود. اما در واقعیت سناریوهای محتمل‌تری رخ می‌دهند که یکی از آنها درخواست از هوش مصنوعی برای نفوذ به یک وب‌سایت بلیت‌فروشی و دریافت بلیت‌های رایگان است. یک پژوهشگر امنیتی به‌تازگی همین کار را انجام داد و توانست با کمک هوش مصنوعی، کنترل یکی از بزرگ‌ترین پلتفرم‌های بلیت‌فروشی جهان را به دست بگیرد.

به گزارش وایرد، «ایان کارول» (Ian Carroll)، پژوهشگر امنیتی و مدیر استارتاپ Seats.aero، در ماه آوریل با استفاده از مدل هوش مصنوعی Claude Opus 4.7 توانست به سیستم‌های شرکت Front Gate Tickets نفوذ کند. این شرکت که زیرمجموعه کمپانی بزرگ Live Nation Entertainment محسوب می‌شود، مدیریت بلیت‌فروشی تقریباً تمام جشنواره‌های موسیقی بزرگ آمریکا از جمله Lollapalooza و Austin City Limits را برعهده دارد.

کارول متوجه شد که با استفاده از یک باگ در این وب‌سایت، می‌تواند به اطلاعات میلیون‌ها مشتری دسترسی پیدا کند و بلیت‌های چند هزار دلاری را به‌سادگی برای خود صادر کند. او درباره این تجربه عجیب می‌گوید که مشاهده یک بلیت ۴۰۰۰ دلاری و امکان صدور نامحدود آن فقط با یک کلیک، بسیار شگفت‌انگیز بود. او در آن لحظه می‌توانست بدون هیچ محدودیتی بلیت‌های گران‌قیمت‌ترین رویدادها را برای خود ثبت کند.

نقش هوش مصنوعی Claude در هک سایت فروش بلیت

داستان از جایی شروع شد که کارول قصد داشت برای جشنواره موسیقی Electric Daisy Carnival در زادگاهش لاس‌وگاس بلیت تهیه کند. او متوجه شد که شرکت فرانت گیت انحصار بلیت‌فروشی اکثر جشنواره‌های بزرگ را در اختیار دارد و تصمیم گرفت سیستم‌های آن‌ها را بررسی کند. او یک آسیب‌پذیری SQL injection را در این سایت کشف کرد، اما فایروال برنامه تحت وب مانع از اجرای دستورات او می‌شد.

در اینجا بود که کارول از مدل هوش مصنوعی کلود اوپوس ۴.۷ کمک گرفت. این ابزار هوش مصنوعی یک تکنیک هک را کدنویسی کرد که فایروال سایت را دور می‌زد. این تکنیک به او اجازه داد تا به پایگاه داده‌ای شامل ۵۰۰ دیتابیس از اطلاعات مشتریان شامل نام، ایمیل و آدرس پستی و همچنین داده‌های کارمندان دسترسی پیدا کنند؛ هرچند اطلاعات کارت‌های اعتباری در این بخش وجود نداشت.

کارول پس از دسترسی به داده‌های کارمندان، به راحتی یک حساب کاربری با دسترسی مدیر ارشد را پیدا کرد. او روی گزینه بازنشانی رمز عبور کلیک کرد و از آنجایی که به پایگاه داده سایت دسترسی داشت، توانست کد بازنشانی را که سیستم به ایمیل مدیر فرستاده بود، از داخل کدهای بک‌اِند بخواند. او با واردکردن این کد، رمز عبور جدیدی تنظیم کرد و کنترل کامل حساب مدیر را به دست گرفت.

این پژوهشگر امنیتی سپس گران‌ترین بلیت‌های جشنواره Bonnaroo را پیدا کرد و آن‌ها را به عنوان بلیت‌های رایگان مهمان به سبد خرید خود افزود. البته او برای جلوگیری از عبور از خطوط قرمز قانونی و متهم‌شدن به کلاه‌برداری، این سفارش را نهایی نکرد. کارول از این موضوع شگفت‌زده شد که هیچ سیستم احراز هویت دومرحله‌ای در این پلتفرم وجود نداشت و هر کسی با داشتن یک رمز عبور ساده می‌توانست صدها بلیت رایگان صادر کند.

کارول این آسیب‌پذیری خطرناک را به مدیران شرکت فرانت گیت گزارش داد. این شرکت در پاسخ به رسانه‌ها اعلام کرد که مشکل را در کمتر از ۲۴ ساعت برطرف کرده است و هیچ شواهدی مبنی‌بر سوءاستفاده یا به خطر افتادن اطلاعات مشتریان وجود ندارد.

از سوی دیگر، آنتروپیک نیز اعلام کردند که کارول عضو برنامه تأییدیه سایبری این شرکت است. این برنامه به پژوهشگران امنیتی تأییدشده اجازه می‌دهد تا برای ایمن‌سازی کدها از توانایی‌های پیشرفته هوش مصنوعی استفاده کنند. به گفته آنتروپیک، که اگر کارول عضو این برنامه نبود، سیستم‌های امنیتی آنتروپیک درخواست او را برای هک‌کردن سایت شناسایی و مسدود می‌کردند.

منبع خبر "دیجیاتو" است و موتور جستجوگر خبر تیترآنلاین در قبال محتوای آن هیچ مسئولیتی ندارد. (ادامه)
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت تیترآنلاین مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویری است، مسئولیت نقض حقوق تصریح شده مولفان از قبیل تکثیر، اجرا و توزیع و یا هرگونه محتوای خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.