Slušaj vest

Istraživač Ian Kerol bavi se pronalaženjem bezbednosnih propusta u web sistemima, a njegovo interesovanje za platformu Front Gate počelo je kada je primetio koliko je ta infrastruktura duboko ukorenjena u industriji muzičkih festivala. Ono što je započelo kao tehnička radoznalost ubrzo se pretvorilo u istraživanje sistema koji stoji iza prodaje ulaznica za neke od najvećih događaja u Sjedinjenim Američkim Državama, uključujući festivale poput Lollapalooze.

Front Gate je deo šireg ekosistema kompanije Live Nation Entertainment i funkcioniše kao centralizovana platforma za upravljanje prodajom karata i pristupom događajima. Upravo ta centralizacija omogućava efikasno upravljanje velikim brojem festivala, ali istovremeno stvara i potencijalnu tačku rizika koja se retko dovodi u pitanje dok sistem funkcioniše bez problema.

Tokom analize, Kerol je primetio da se ista infrastruktura koristi za veliki broj različitih festivala i organizatora, što znači da bi jedan propust mogao imati mnogo širi domet nego što bi to bio slučaj kod izolovanih sistema. Ta spoznaja promenila je fokus njegovog istraživanja - od pojedinačnog sajta ka čitavoj mreži koja povezuje industriju.

festival.jpg
Foto: Shutterstock

Kako je započelo istraživanje i otkrivanje slabosti

Istraživanje je počelo gotovo slučajno, kada je Kerol razmatrao odlazak na veliki festival elektronske muzike u Las Vegasu. Tokom pregleda opcija za kupovinu karata, primetio je da se iza više različitih događaja zapravo nalazi isti sistem, što je odmah privuklo njegovu pažnju kao bezbednosnog istraživača.

Daljom analizom javno dostupnih delova platforme, fokusirao se na web aplikaciju i način na koji server obrađuje korisničke zahteve. Tu je uočio potencijalnu SQL ranjivost - jedan od najčešćih, ali i najopasnijih tipova grešaka u web aplikacijama - ali je ubrzo naišao na zaštitni sloj koji je sprečavao direktno iskorišćavanje.

Umesto da odustane, Kerol je nastavio da ispituje ograničenja sistema i odlučio da uključi AI alat Claude Opus 4, u pokušaju da razume kako bi se u teoriji mogla zaobići postojeća zaštita.

SQL.jpg
Foto: Shutterstock

AI alat i neočekivana automatizacija napada

U ovoj fazi istraživanja, Claude Opus 4 je počeo da igra ključnu ulogu. Kerol ga je koristio kao pomoć u analizi tehničke strukture ranjivosti, a AI je generisao različite pristupe koji su ukazivali na moguće načine zaobilaženja filtera koji su blokirali sumnjive SQL upite.

Jedna od tehnika koja se izdvojila bila je upotreba ugnježdenih SQL upita - upita unutar drugih upita - što može otežati njihovu detekciju sigurnosnim sistemima. U ovom slučaju, upravo ta tehnika je omogućila zaobilaženje firewall zaštite koja je prethodno blokirala pokušaje eksploatacije.

Kerol je kasnije priznao da u početku nije u potpunosti razumeo kako je zaštita zaobiđena, jer je značajan deo rešenja zapravo generisao sam AI. Tek naknadnim analiziranjem koda koji je Claude proizveo, postalo mu je jasno kako ceo mehanizam funkcioniše.

shutterstock_2727032385.jpg
Foto: Shutterstock

Pristup sistemu i potencijalni obim podataka

Nakon što je uspeo da zaobiđe početne zaštite, Kerol je dobio pristup delovima sistema koji su sadržali velike baze podataka. Prema njegovim navodima, to je uključivalo informacije o milionima korisnika, kao što su imena, mejladrese i poštanskeadrese, ali bez finansijskih podataka poput brojeva kreditnih kartica.

Kako se istraživanje produbljivalo, došao je i do administratorskih naloga. U jednom trenutku uspeo je da resetuje pristup super-administratorskom nalogu, koristeći kod za reset lozinke koji je pronašao unutar sistema, čime je praktično preuzeo kontrolu nad najvišim nivoom platforme.

To mu je omogućilo da simulira izdavanje ulaznica za različite događaje, uključujući i najskuplje VIP pakete. Ipak, kako je naglasio, nijednu transakciju nije završio, upravo kako ne bi prešao granicu zakonski dozvoljenog istraživanja.

programer
Foto: Pavle Bugarski/Shutterstock

Reakcija kompanije i širi bezbednosni kontekst

Kompanija Front Gate saopštila je da je problem brzo rešen i da nema dokaza da su podaci korisnika bili zloupotrebljeni. Naveli su da su dodatne bezbednosne mere već uvedene kako bi se smanjio rizik od sličnih incidenata u budućnosti.

Prema njihovom objašnjenju, sistem je beležio aktivnosti kroz logove, a eventualne neovlašćene izmene naloga ili izdavanje karata mogle bi biti detektovane i poništene pre nego što dođu do korisnika. Takođe tvrde da su sumnjive aktivnosti bile primećene i pre nego što je istraživač zvanično kontaktirao tim za bezbednost.

Ovaj slučaj otvara širu raspravu o ulozi veštačke inteligencije u sajber bezbednosti, jer pokazuje da AI alati već danas mogu značajno ubrzati proces pronalaženja ranjivosti - ali i potencijalno olakšati njihovu eksploataciju. Istovremeno, postavlja pitanje koliko su veliki, centralizovani sistemi spremni za ovu novu realnost.

shutterstock-ai-1.jpg
AI Foto: Shutterstock

Šira slika i implikacije za industriju

Ono što ovaj slučaj posebno ističe jeste razmera centralizacije u industriji prodaje ulaznica. Sistemi koji opslužuju desetine velikih festivala istovremeno deluju efikasno i stabilno, ali upravo ta povezanost znači da jedan propust može imati mnogo šire posledice nego što bi se očekivalo.

Kerol je naveo da ga je iznenadilo koliko je sistem delovao „standardno“, uprkos tome što upravlja ogromnim brojem korisnika i događaja. Prema njegovom mišljenju, upravo ta kombinacija kompleksnosti i relativno jednostavnih bezbednosnih propusta stvara prostor za ozbiljne rizike.

Na kraju, slučaj ostavlja otvoreno pitanje koliko sličnih sistema širom interneta funkcioniše na isti način - neprimetno, efikasno, ali potencijalno ranjivo - i koliko će uloga veštačke inteligencije promeniti način na koji se takvi sistemi testiraju i štite u budućnosti.

Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.

ZAPRATITE NAS NA TIKTOKU