Telset.id – Seorang peneliti keamanan berhasil mengeksploitasi celah keamanan di sistem tiket Front Gate Tickets, perusahaan yang menangani hampir semua festival musik besar di Amerika Serikat, dengan bantuan AI Claude Opus 4.7. Kerentanan ini memungkinkan akses penuh ke jutaan data pelanggan dan penerbitan tiket secara gratis.
Ian Carroll, peneliti keamanan yang juga pendiri startup Seats.aero, menemukan bahwa Front Gate Tickets memiliki bug di situs webnya. Dengan bantuan Claude, ia dapat mengeksploitasi celah tersebut untuk mengakses data pelanggan atau staf serta menerbitkan tiket untuk acara apa pun tanpa batasan.
“Itu sangat keren melihat tiket seharga $4.000, dan saya bisa menekan tombol dan menerbitkan sebanyak yang saya mau,” kata Carroll. “Saya bisa pergi ke setiap acara tanpa batasan: saya bisa mendapatkan tiket backstage atau apa pun yang mereka jual untuk super VIP, bahkan jika sudah habis terjual.”
Front Gate Tickets merupakan anak perusahaan Live Nation Entertainment, sama seperti Ticketmaster. Perusahaan ini menangani tiket untuk festival besar seperti Lollapalooza, South by Southwest, hingga Austin City Limits.
Carroll, yang merupakan bagian dari Anthropic Cyber Verification Program, mengaku terkejut dengan betapa mudahnya Claude menemukan elemen kunci untuk teknik membobol situs Front Gate. “Saya pikir ada kemungkinan besar AI ini bisa menemukan eksploitasi dari awal hingga akhir tanpa saya melakukan apa pun sama sekali,” ujarnya.
Baca Juga:
Peneliti tersebut pertama kali menemukan kerentanan SQL injection di situs Front Gate. Namun, web application firewall pada situs tersebut menghalangi eksploitasinya. Carroll kemudian meminta Claude Opus 4.7 untuk menemukan cara mengeksploitasi celah tersebut.
AI tersebut langsung membuat kode teknik peretasan yang berhasil melewati firewall. Claude menemukan bahwa “nested SQL query” atau kueri SQL di dalam kueri SQL lainnya dapat menghindari deteksi firewall. “Ini pertama kalinya saya memiliki kerentanan yang tidak saya pahami sepenuhnya,” kata Carroll. “Saya harus membaca kembali apa yang ditulis Claude untuk memahami bypass-nya, karena saya tidak menulisnya. Claude melakukannya sepenuhnya sendiri.”
Segera setelah itu, AI tersebut menulis skrip yang menampilkan sampel dari tabel 500 database informasi pelanggan yang terekspos. Carroll yakin kerentanan yang ia temukan bersama Claude akan memberikan akses ke informasi jutaan pelanggan, termasuk nama, email, dan alamat surat, tetapi tidak termasuk detail kartu kredit.
Dengan akses ke data staf, Carroll menemukan bahwa ia juga bisa mengambil alih akun staf. Ia mencari akun super administrator, mengklik opsi untuk mereset kata sandinya, dan menemukan kode reset yang dikirimkan ke email administrator yang tersimpan di backend situs. Ia kemudian menggunakannya untuk mengonfirmasi reset, menetapkan kata sandi baru, dan mengambil alih akun administrator.
Tak lama kemudian, ia melihat tiket termahal yang bisa ditemukan untuk Bonnaroo dan menambahkannya sebagai tiket komp ke semacam keranjang belanja. Carroll tidak menyelesaikan pesanan dan menerbitkan tiket karena khawatir melanggar batas dan dituntut atas penipuan.
Yang mengejutkan, metode pengambilalihan akun tersebut sangat mudah karena tidak ada autentikasi dua faktor yang mencegah kata sandi yang bocor, dicuri, atau ditebak memberikan akses penuh ke seseorang. “Bahkan tanpa kerentanan ini, jika seseorang tahu kata sandi Anda, mereka bisa login tanpa verifikasi dan menerbitkan tiket gratis,” kata Carroll.
Front Gate Tickets merespons dengan pernyataan yang berterima kasih kepada Carroll karena melaporkan kerentanan tersebut. “Ini diselesaikan dalam waktu 24 jam, dan kami dapat mengonfirmasi tidak ada bukti eksploitasi, dampak tiket, atau kompromi informasi pelanggan,” demikian bunyi pernyataan tersebut.
Perusahaan juga menyatakan bahwa masalah tersebut diidentifikasi oleh peneliti keamanan yang bertanggung jawab yang menggunakan alat bantuan AI untuk melewati kontrol firewall standar dan mengakses API internal yang digunakan oleh pemindai masuk di tempat festival, bukan sistem yang menghadap konsumen atau portal login publik.
Namun, Carroll membantah klaim tersebut. Ia mengatakan berhasil mendapatkan hak istimewa super administrator di platform perusahaan tanpa respons yang terlihat dari perusahaan, dan memang mengakses situs melalui portal login yang menghadap publik. Carroll juga mencatat bahwa Front Gate tidak mengklaim memiliki bukti bahwa kerentanan tersebut tidak pernah dieksploitasi sebelumnya.
Anthropic, perusahaan pengembang Claude, merespons dengan pernyataan bahwa mereka menciptakan Cyber Verification Program untuk memberikan kemampuan keamanan tingkat lanjut kepada para pembela sehingga mereka dapat melakukan penelitian semacam ini yang membantu membuat kode di dunia lebih aman.
Perusahaan menambahkan bahwa jika Carroll tidak menjadi bagian dari program tersebut, penggunaan Claude untuk meretas sistem Front Gate akan terdeteksi dan diblokir.
Carroll pertama kali mengetahui tentang Front Gate beberapa bulan lalu saat mempertimbangkan untuk menghadiri Electric Daisy Carnival, festival musik dansa elektronik raksasa di kampung halamannya di Las Vegas. Ia melihat bahwa tiket festival tersebut dikelola oleh Front Gate dan tertarik untuk memeriksa situs web festival lain, menemukan bahwa perusahaan yang sama mengelola tiket untuk hampir semua festival musik besar AS selain Coachella.
“Ini seperti Ticketmaster tetapi untuk festival musik,” kenangnya. “Mereka memiliki monopoli.”
Yang paling mengkhawatirkan, menurut Carroll, adalah Front Gate tampaknya tidak mengaudit situsnya sendiri dengan benar untuk kerentanan sederhana, baik dengan pemburu manusia maupun AI yang sekarang tampaknya membuat proses penemuan bug menjadi sangat mudah.
“Sangat mengkhawatirkan ketika Anda berpikir festival musik profesional ini dengan situs web profesional dikelola dengan baik,” kata Carroll. “Kemudian Anda mendapatkan akses, dan Anda menyadari semuanya hanya disatukan dengan lakban dan doa.”
Insiden ini menunjukkan betapa luasnya AI mungkin dapat menggali bug yang dapat diretas di setiap aspek internet. Dengan bantuan AI, proses penemuan celah keamanan yang sebelumnya memakan waktu lama kini bisa dilakukan dengan lebih cepat dan efisien.
Ke depannya, kolaborasi antara peneliti keamanan manusia dan AI seperti Claude diharapkan dapat semakin memperkuat keamanan siber. Harga lebih murah dari model AI juga diharapkan dapat mendorong lebih banyak perusahaan untuk mengadopsi teknologi serupa dalam pengujian keamanan mereka.
Sementara itu, diskon 50 persen untuk penggunaan Claude AI oleh pemerintah California menunjukkan potensi adopsi teknologi ini di sektor publik.





Komentar
Belum ada komentar.