Crédit photo : Clint Patterson
Un pirate informatique et chercheur en sécurité a découvert un exploit d’IA utilisant le chatbot Claude pour obtenir un accès complet aux systèmes qui gèrent la billetterie de presque tous les grands festivals américains.
En avril, un chercheur en sécurité et hacker « chapeau blanc » Ian Carroll a utilisé l’outil d’IA Claude Opus 4.7 pour découvrir un exploit qui lui a permis d’accéder pleinement aux systèmes de Front Gate Tickets, qui gère la billetterie de presque tous les grands festivals de musique américains, notamment Lollapalooza, South by Southwest et Austin City Limits.
Selon Carroll, Front Gate, une filiale de Live Nation, avait un bug sur son site Web qui, avec l’aide de Claude, lui a permis d’accéder à des millions de dossiers de clients et d’employés afin d’émettre librement des billets pour n’importe quel événement, à n’importe quel prix, à qui il voulait.
“C’était plutôt cool de voir un ticket d’une valeur de 4 000 $, et je pouvais simplement appuyer sur un bouton et en émettre autant que je voulais”, a déclaré Carroll. Filaire. “Je pourrais assister à chaque événement sans aucune limitation ni restriction ; je pourrais obtenir le pass pour les coulisses ou tout ce qu’ils vendent aux super VIP– même s’il est épuisé.
Carroll, qui effectue des recherches indépendantes mais dirige également le démarrage du moteur de recherche de vols Sièges.aeron’a pas profité de son nouveau pouvoir d’émission de billets. Au lieu de cela, il a rapporté ses découvertes à Front Gate, qui dit Filaire qu’il avait depuis corrigé la vulnérabilité. La société a déclaré qu’elle appréciait Carroll pour avoir signalé la faille, décrivant l’incident comme une collaboration réussie qui a conduit à des améliorations de la sécurité de son site Web.
Mais même une fois le problème résolu, l’incident met en lumière la capacité de l’IA à identifier des piratages similaires sur Internet. Cela démontre également que des pirates informatiques qui n’effectuent pas de recherches de sécurité ou d’autres acteurs malveillants pourraient manipuler de tels outils.
Carroll fait partie du programme de cybervérification d’Anthropic, qui permet aux chercheurs en sécurité agréés d’utiliser ses outils pour exécuter des fonctions de piratage afin d’identifier exactement ce type de failles dans son système. Mais Carroll a exprimé à quel point il était surpris par la facilité avec laquelle Claude a trouvé les « éléments clés » de sa technique pour accéder au site Front Gate.
“Je pense qu’il y a de très bonnes chances qu’il ait pu trouver cet exploit de bout en bout sans que je fasse quoi que ce soit”, a-t-il déclaré.
Il souligne également que Front Gate, qui a soutenu dans une déclaration à Filaire que les mesures de sécurité de l’entreprise limitaient l’exposition des informations personnelles, ne prétend pas avoir la preuve que la vulnérabilité n’a pas été exploitée auparavant. Carroll a déclaré qu’il avait pu obtenir un accès de « super-administrateur » à la plateforme de l’entreprise sans aucune réponse perceptible de la part de l’entreprise. Il semble que Front Gate veuille garder le sujet secret.
Carol a déclaré qu’il avait découvert Front Gate pour la première fois il y a seulement quelques mois, alors qu’il envisageait d’assister à l’Electric Daisy Carnival (EDC) à Las Vegas. Lorsqu’il a vu que la billetterie du festival était gérée par Front Gate, il s’est demandé quels autres festivals utilisaient la société et s’est rendu compte que presque tous les grands festivals de musique américains (à l’exception de Coachella) utilisaient Front Gate.
“C’est comme Ticketmaster mais pour les festivals de musique”, a-t-il déclaré. “Ils ont le monopole, essentiellement.»
“Il n’y a qu’une seule société centralisée qui délivre tous les billets pour chaque festival”, a-t-il ajouté. “Et même sans cette vulnérabilité, si vous connaissiez le mot de passe de quelqu’un, vous pouviez simplement vous connecter sans aucune vérification et émettre des billets gratuits.”
“C’est tout simplement inquiétant de penser que ces festivals de musique très professionnels dotés de sites Web professionnels sont bien gérés”, a conclu Carroll. “Ensuite, vous avez accès et vous réalisez que tout est maintenu par du ruban adhésif et des prières.”

Leave a Reply