Yapay Zeka ile Müzik Festivali Biletlerine Bedava Erişim: Bir Güvenlik Araştırmacısının Claude Deneyimi Linux

Yapay Zeka ile Müzik Festivali Biletlerine Bedava Erişim: Bir Güvenlik Araştırmacısının Claude Deneyimi

Yapay zeka aracı Claude, bir güvenlik araştırmacısının Front Gate Tickets sistemine sızarak Bonnaroo gibi festivallere ücretsiz VIP bilet almasını sağ

Yapay zekanın otonom hackleme yetenekleriyle ilgili korkular genellikle nükleer fırlatma kodlarının çalınması veya banka rezervlerinin sıfırlanması gibi felaket senaryolarını içerir. Ancak, gerçekte çok daha olası olan şey, bir yapay zekaya biletleme web sitesinde süper yönetici erişimi kazandırmak ve ardından kendinize ve tüm arkadaşlarınıza Bonnaroo için ücretsiz VIP backstage geçişleri düzenlemektir.

Bu, güvenlik araştırmacısı Ian Carroll'un Nisan ayında yapay zeka aracı Claude Opus 4.7'yi kullanarak keşfettiği bir teknikle gerçekleşti. Carroll, Front Gate Tickets sistemlerine tam erişim sağladı; Front Gate, Lollapalooza, South by Southwest ve Austin City Limits gibi ABD'deki neredeyse tüm büyük müzik festivallerinin biletlemesini yapıyor. Carroll, Ticketmaster gibi Live Nation Entertainment'ın bir yan kuruluşu olan Front Gate'in web sitesinde, Claude'un yardımıyla istismar edebileceği bir hata buldu. Bu hata, milyonlarca müşteri veya çalışan kaydına erişmesine ve herhangi bir etkinlik için kendisine veya seçtiği herhangi bir kişiye sınırsız sayıda bilet düzenlemesine olanak tanıyordu.

Seats.aero girişimini yöneten ve bağımsız güvenlik araştırmaları yapan Carroll, '4.000 dolarlık bir bileti görmek ve sadece bir düğmeye basarak istediğim kadar düzenleyebilmek oldukça havalıydı. Her etkinliğe hiçbir sınırlama veya kısıtlama olmadan gidebilirdim: backstage geçişi veya süper VIP'lere satılan her neyse onu alabilirdim, tükenmiş olsa bile' dedi.

Sistem Güvenliği

Carroll, bu bilet düzenleme süper gücünden faydalanmadı ve bunun yerine bulgularını Front Gate'e bildirdi. Şirket, güvenlik açığını kapattığını belirtti. WIRED'ın teması üzerine Front Gate, Carroll'a teşekkür eden bir açıklama yaptı ve olayı, güvenliğinde iyileştirmelerle sonuçlanan başarılı bir iş birliği olarak tanımladı.

Açıklamada, 'Bu 24 saat içinde çözüldü ve herhangi bir istismar, bilet etkisi veya müşteri bilgilerinin tehlikeye atıldığına dair bir kanıt bulunmadığını teyit edebiliriz. Sorun, AI destekli araçlar kullanan sorumlu bir güvenlik araştırmacısı tarafından, standart güvenlik duvarı kontrollerini atlayarak ve festival mekanlarındaki giriş tarayıcıları tarafından kullanılan bir dahili API'ye erişerek tespit edildi. Bu, tüketiciye yönelik bir sistem veya genel giriş portalı değildi' ifadelerine yer verildi.

Açıklık şimdi düzeltilmiş olsa da, bu olay yapay zekanın internetin her alanında istismar edilebilir güvenlik açıklarını ne kadar geniş bir şekilde ortaya çıkarabileceğini gösteriyor. Anthropic'in Siber Doğrulama Programı'nın bir parçası olan Carroll, Claude'un Front Gate sitesine sızma tekniğinin kilit unsurlarını ne kadar kolay bulduğuna şaşırdığını söyledi. 'Bence, bu açığı ben hiçbir şey yapmadan uçtan uca bulma ihtimali çok yüksek' dedi.

Kaynak: wired.com

Paylaş: