Obawy dotyczące sztucznej inteligencji wykorzystywanej do cyberataków najczęściej koncentrują się na scenariuszach rodem z filmów science-fiction, takich jak kradzież kodów do broni jądrowej czy paraliż systemów bankowych. Jak pokazuje przypadek badacza bezpieczeństwa Iana Carrolla, znacznie bardziej realnym zagrożeniem jest wykorzystanie AI do przejęcia kontroli nad popularnymi platformami usługowymi. Carroll, przy wsparciu modelu Claude Opus 4.7, zdołał uzyskać dostęp do systemów firmy Front Gate Tickets, która obsługuje sprzedaż wejściówek na niemal wszystkie najważniejsze festiwale muzyczne w Stanach Zjednoczonych, w tym Lollapaloozę, Bonnaroo czy South by Southwest.
Luka w zabezpieczeniach i rola sztucznej inteligencji
Ian Carroll, który na co dzień prowadzi startup Seats.aero i zajmuje się niezależnymi testami bezpieczeństwa, odkrył podatność w witrynie Front Gate, spółki zależnej Live Nation Entertainment. Dzięki pomocy modelu AI, badacz był w stanie ominąć zabezpieczenia zapory sieciowej (firewall) i uzyskać dostęp do wewnętrznego interfejsu API oraz kont administratorów. Pozwoliło mu to na swobodne generowanie darmowych biletów na dowolne wydarzenie, w tym ekskluzywnych wejściówek typu VIP, których wartość rynkowa sięgała nawet 4000 dolarów (około 16 000 złotych).
To było dość niesamowite widzieć bilet za 4000 dolarów i móc po prostu nacisnąć przycisk, aby wygenerować ich tyle, ile chciałem. Mogłem pójść na każde wydarzenie bez żadnych ograniczeń: mogłem zdobyć przepustkę za kulisy lub cokolwiek, co sprzedają dla super VIP-ów, nawet jeśli wydarzenie było wyprzedane.
Kluczowym elementem ataku było wykorzystanie techniki tzw. zagnieżdżonego zapytania SQL. Carroll przyznaje, że nie w pełni rozumiał naturę podatności, dopóki AI nie przygotowało gotowego skryptu pozwalającego na obejście zabezpieczeń. Model Claude nie tylko zidentyfikował lukę, ale również napisał kod, który umożliwił dostęp do danych milionów klientów oraz pracowników firmy.
Proces przejęcia kontroli
Po uzyskaniu dostępu do danych pracowniczych, Carroll był w stanie przejąć konto z uprawnieniami superadministratora. Proces ten okazał się alarmująco prosty:
Badacz zauważył, że system nie wymagał uwierzytelniania dwuskładnikowego, co oznacza, że nawet bez wykorzystania luki w zabezpieczeniach, osoba znająca hasło administratora mogłaby bez przeszkód generować darmowe wejściówki.
Reakcja firmy i wnioski z incydentu
Ian Carroll nie wykorzystał zdobytej władzy w celach przestępczych. Zamiast tego zgłosił odkrytą lukę do Front Gate, która naprawiła błąd w ciągu 24 godzin. Firma w oficjalnym oświadczeniu podziękowała badaczowi za odpowiedzialne podejście, podkreślając, że nie ma dowodów na to, by podatność została wykorzystana przez osoby trzecie. Przedstawiciele Front Gate zaznaczyli również, że wiele biletów VIP wymaga fizycznych opasek RFID, których nie da się wygenerować poprzez system online, co ograniczało potencjalne skutki ataku.
Spór między badaczem a firmą dotyczy jednak kwestii wykrywalności działań. Podczas gdy Front Gate twierdzi, że posiadała odpowiednie mechanizmy monitorujące i wykryła aktywność Carrolla przed jego zgłoszeniem, badacz utrzymuje, że uzyskał dostęp do systemu bez żadnej reakcji ze strony zabezpieczeń. Incydent ten rzuca nowe światło na bezpieczeństwo infrastruktury cyfrowej, w której – jak zauważa Carroll – wiele profesjonalnych systemów opiera się na rozwiązaniach, które w rzeczywistości wymagają gruntownej modernizacji.

