Yapay Zeka Destekli Sızma Testi: Claude ile Müzik Festivali Biletlerine Sınırsız Erişim Yazılım

Yapay Zeka Destekli Sızma Testi: Claude ile Müzik Festivali Biletlerine Sınırsız Erişim

Yapay zeka aracı Claude, güvenlik araştırmacısına ABD'deki neredeyse tüm büyük müzik festivallerine ücretsiz VIP bilet basma yöntemini gösterdi.

Yapay zeka destekli otonom hack araçları denince akla genellikle nükleer fırlatma kodlarının çalınması veya banka rezervlerinin sıfırlanması gibi kâbus senaryoları gelir. Oysa gerçekte çok daha olası bir senaryo var: AI'ya bir biletleme sitesinde süper yönetici erişimi kazandırmak ve ardından tüm arkadaşlarınıza Bonnaroo için ücretsiz VIP backstage geçiş kartları düzenlemek. Bu, güvenlik araştırmacısı Ian Carroll'un Nisan 2025'te Claude Opus 4.7 adlı AI aracını kullanarak keşfettiği bir teknikle mümkün oldu.

Carroll, Live Nation Entertainment'ın bir yan kuruluşu olan ve Lollapalooza, South by Southwest, Austin City Limits gibi neredeyse tüm büyük ABD müzik festivalinin biletlemesini yapan Front Gate Tickets'in web sitesinde bir açık buldu. Bu açık sayesinde, Claude'un yardımıyla milyonlarca müşteri ve çalışan kaydına erişebildi ve herhangi bir etkinlik için istediği değerde biletleri kendisine veya dilediği kişiye ücretsiz olarak düzenleyebildi.

Seats.aero girişiminin kurucusu ve bağımsız güvenlik araştırmacısı Carroll, '4000 dolarlık bir bileti görüp tek bir tuşla istediğim kadar basabilmek gerçekten harikaydı' diyor. 'Hiçbir kısıtlama olmadan her etkinliğe gidebilirdim: backstage pasosu ya da süper VIP'lere satılan her şeyi alabilirdim - tükenmiş olsa bile.' Carroll bu yetkisini kötüye kullanmadı ve açığı Front Gate'e bildirdi; şirket de güvenlik açığını kapattığını duyurdu.

WIRED'ın ulaştığı Front Gate yetkilileri, açığın 24 saat içinde çözüldüğünü ve herhangi bir sömürü, bilet etkisi veya müşteri bilgisi ihlali kanıtı bulunmadığını belirtti. Açıklamada, 'Sorun, AI destekli araçlar kullanan sorumlu bir güvenlik araştırmacısı tarafından tespit edildi. Araştırmacı, standart güvenlik duvarı kontrollerini aşarak festival mekanlarındaki giriş tarayıcıları tarafından kullanılan bir dahili API'ye erişti' ifadeleri yer aldı.

Gelecekte Ne Bekleniyor?

Bu olay, AI'nın internetin her alanında hacklenebilir açıkları ne kadar geniş bir şekilde ortaya çıkarabileceğini gösteriyor. Carroll, Anthropic'in Siber Doğrulama Programı'nın bir parçası olarak Claude'u belirli hackleme işlevleri için kullanma iznine sahipti. Aracın, Front Gate sitesine sızma tekniğinin kilit unsurlarını ne kadar kolay ürettiğine şaşırdığını belirten Carroll, 'Bence bu açığı ben hiçbir şey yapmadan uçtan uca bulma ihtimali çok yüksekti' diyor.

Bu vaka, yapay zeka destekli güvenlik araştırmalarının potansiyelini ve beraberinde getirdiği riskleri gözler önüne seriyor. AI araçları, güvenlik açıklarını tespit etme konusunda insanlardan çok daha hızlı ve kapsamlı olabilir. Ancak aynı araçların kötü niyetli kişilerin eline geçmesi durumunda, biletleme sistemlerinden bankacılık altyapısına kadar her şey hedef alınabilir. Şirketlerin, AI destekli siber tehditlere karşı savunmalarını sürekli güncellemeleri ve güvenlik araştırmacılarıyla iş birliği yapmaları artık bir zorunluluk haline gelmiştir.

Kaynak: wired.com

Paylaş: