Yapay zeka araçlarının otonom hackleme yetenekleriyle ilgili korkular genellikle nükleer fırlatma kodlarının çalınması veya banka rezervlerinin sıfırlanması gibi kabus senaryolarını içerir. Ancak gerçekte çok daha olası olan, bir biletleme sitesine süper yönetici erişimi sağlayıp kendinize ve tüm arkadaşlarınıza Bonnaroo için ücretsiz VIP backstage geçiş kartları basmaktır.
Güvenlik araştırmacısı Ian Carroll, Nisan ayında yapay zeka aracı Claude Opus 4.7'yi kullanarak, Front Gate Tickets sistemlerine tam erişim sağlayan bir teknik keşfetti. Front Gate, Lollapalooza, South by Southwest ve Austin City Limits dahil olmak üzere neredeyse tüm büyük ABD müzik festivallerinin biletlemesini yapıyor. Carroll, Ticketmaster gibi Live Nation Entertainment'ın bir yan kuruluşu olan Front Gate'in web sitesinde, Claude'un yardımıyla istismar edilebilen bir hata buldu. Bu hata sayesinde milyonlarca müşteri veya personel kaydına erişilebiliyor ve herhangi bir etkinlik için istediği değerde biletler ücretsiz olarak basılabiliyordu.
Seats.aero girişiminin kurucusu ve bağımsız güvenlik araştırmacısı olan Carroll, "4000 dolarlık bir bileti görüp sadece bir düğmeye basarak istediğim kadar basabilmek gerçekten harikaydı," diyor. "Hiçbir sınırlama veya kısıtlama olmadan her etkinliğe gidebilirdim: backstage geçiş kartı ya da süper VIP'lere satılan her neyse, tükenmiş olsa bile alabilirdim."
Detaylar ve Etkileri
Carroll, bilet basma süper gücünü kullanmadı ve bulgularını Front Gate'e bildirdi. Şirket, güvenlik açığını kapattığını açıkladı. WIRED ile yapılan bir röportajda şirket, "Bu sorun 24 saat içinde çözüldü ve herhangi bir istismar, bilet etkisi veya müşteri bilgilerinin tehlikeye girdiğine dair kanıt bulunmamaktadır. Sorun, AI destekli araçlar kullanarak standart güvenlik duvarı kontrollerini atlatan ve festival mekanlarındaki giriş tarayıcıları tarafından kullanılan bir iç API'ye erişen sorumlu bir güvenlik araştırmacısı tarafından tespit edildi," ifadelerini kullandı.
Açık şimdi kapatılmış olsa da, bu olay yapay zekanın internetin her alanında istismar edilebilir hataları ne kadar geniş bir şekilde ortaya çıkarabileceğini gösteriyor. Anthropic'in, güvenlik araştırmacılarının belirli hackleme işlevleri için araçlarını kullanmasına izin veren Siber Doğrulama Programı'nın bir parçası olan Carroll, Claude'un Front Gate sitesine sızma tekniğinin temel unsurlarını ne kadar kolay bulduğuna şaşırdığını söylüyor. "Bence bu açığı baştan sona hiçbir şey yapmadan bulma ihtimali çok yüksekti," diyor.
Teknik Analiz
Bu olay, yapay zekanın siber güvenlikteki potansiyelini ve tehlikelerini bir kez daha gözler önüne seriyor. Bir yandan güvenlik araştırmacılarına büyük kolaylık sağlarken, diğer yandan kötü niyetli kişiler tarafından da kullanılabileceği gerçeği, şirketlerin güvenlik önlemlerini sürekli güncellemeleri gerektiğini hatırlatıyor. Kullanıcılar olarak bizler de, kişisel verilerimizin korunması için güçlü parolalar kullanmak ve iki faktörlü kimlik doğrulamayı etkinleştirmek gibi temel önlemleri almalıyız.
Kaynak: wired.com