🐟 (@stevessr)黑客利用 Claude AI 获得了几乎所有美国音乐会的免费门票 中发帖

[!quote]+ 
Front Gate Tickets (FGT) 是一个严重的未经身份验证的 SQL 注入漏洞,该漏洞允许攻击者借助 Anthropic 的 Claude AI 模型完全控制该平台。FGT 是 Live Nation/Ticketmaster 的子公司,为包括 EDC、Bonnaroo 和 Outside Lands 在内的美国主要音乐节提供票务服务。
研究员伊恩·卡罗尔注意到,几乎所有美国大型音乐节都通过少数几个老旧的FGT​​域名进行售票。在使用ffuf工具对fgtapi.frontgatetickets.com API进行模糊测试时,他们发现任何包含“device”一词的端点路径都会触发一个特定的错误,该错误要求提供deviceUID参数,从而暴露了与现场扫描仪和售票处硬件相关的未经身份验证的中间件。
测试表明,deviceUID 值为 12345 时...