एक सुरक्षा शोधकर्ता के रूप में, जो वेब कमजोरियों को खोजने में माहिर हैं, उन्होंने फ्रंट गेट के वेब डोमेन में बग खोजने का फैसला किया। उन्होंने शीघ्र ही एसक्यूएल इंजेक्शन भेद्यता की खोज की – एक सामान्य दोष जो हैकर को किसी वेबसाइट पर टेक्स्ट फ़ील्ड में कमांड इनपुट करने की अनुमति देता है, जिससे वे साइट के बैकएंड पर चलते हैं और कभी-कभी डेटाबेस में संग्रहीत डेटा को वापस भेज देते हैं। लेकिन ऐसा प्रतीत हुआ कि साइट पर एक वेब एप्लिकेशन फ़ायरवॉल उसे इसका फायदा उठाने से रोक रहा है।
इसलिए उन्होंने उस समय आम जनता के लिए उपलब्ध कराए गए सबसे उन्नत एआई मॉडल एंथ्रोपिक क्लॉड ओपस 4.7 से दोष का फायदा उठाने का एक तरीका खोजने के लिए कहा। इसने तुरंत एक हैकिंग तकनीक को कोडित कर दिया जिसने फ़ायरवॉल को बायपास कर दिया। कैरोल कहती हैं, ”वास्तव में, यह पहली बार था कि मुझमें कोई ऐसी भेद्यता थी जिसे मैं पूरी तरह समझ नहीं पाई थी।” “बायपास को समझने के लिए मुझे वापस जाना पड़ा और क्लॉड ने जो लिखा था उसे पढ़ना पड़ा, क्योंकि मैंने इसे नहीं लिखा था। क्लाउड ने इसे पूरी तरह से स्वयं ही लिखा था।”
क्लाउड ने, वास्तव में, पाया था कि एक “नेस्टेड SQL क्वेरी” – एक अन्य SQL क्वेरी के अंदर एक SQL क्वेरी – फ़ायरवॉल की पहचान से बच सकती है। जल्द ही एआई टूल ने एक स्क्रिप्ट लिखी थी जिसमें उजागर ग्राहक जानकारी के 500 डेटाबेस की तालिका से नमूने प्रदर्शित किए गए थे। कुल मिलाकर, कैरोल का मानना है कि जो भेद्यता उसने और क्लाउड ने पाई, उससे लाखों ग्राहकों की जानकारी तक पहुंच हो सकती थी, जिसमें नाम, ईमेल और मेलिंग पते शामिल थे – लेकिन क्रेडिट कार्ड विवरण नहीं – साथ ही फ्रंट गेट के कर्मचारियों की जानकारी तक पहुंच प्रदान की गई थी।
स्टाफ डेटा तक पहुंच के साथ, कैरोल को तुरंत पता चला कि वह स्टाफ खातों को भी अपने कब्जे में ले सकता है। उन्होंने एक सुपर एडमिनिस्ट्रेटर के खाते की खोज की, उसके पासवर्ड को रीसेट करने के विकल्प पर क्लिक किया, और उस रीसेट कोड को ढूंढने में सक्षम हुए जिसे साइट ने साइट के बैकएंड में संग्रहीत व्यवस्थापक के ईमेल पर भेजा था। फिर उसने इसका उपयोग रीसेट की पुष्टि करने, एक नया पासवर्ड सेट करने और व्यवस्थापक के खाते को संभालने के लिए किया।
जल्द ही वह बोनारू के लिए मिलने वाले सबसे महंगे टिकटों को देख रहा था और उन्हें एक प्रकार की शॉपिंग कार्ट में कॉम्प टिकट के रूप में जोड़ रहा था। कैरोल का कहना है, “ऐसा लगता है जैसे आप हर एक इवेंट के लिए ऐसा कर सकते हैं जो आप करना चाहते थे।” (उसने वास्तव में एक लाइन पार करने और धोखाधड़ी का आरोप लगने के डर से एक ऑर्डर पूरा नहीं किया और कोई टिकट जारी नहीं किया।)
कैरोल को यह देखकर आश्चर्य हुआ कि उसकी अधिग्रहण विधि कितनी आसान थी: किसी भी दो-कारक प्रमाणीकरण ने लीक, चोरी या अनुमानित पासवर्ड को किसी को पूर्ण पहुंच देने से नहीं रोका। कैरोल का कहना है, ”केवल यह एक केंद्रीकृत कंपनी है जो हर एक त्योहार के लिए सभी टिकट जारी करती है।” “और इस भेद्यता के बिना भी, यदि आप किसी का पासवर्ड जानते हैं, तो आप बिना किसी सत्यापन के लॉग इन कर सकते हैं और मुफ्त टिकट जारी कर सकते हैं।”
कैरोल का कहना है कि शायद सबसे उल्लेखनीय बात यह है कि फ्रंट गेट ने साधारण कमजोरियों के लिए अपनी साइट का ठीक से ऑडिट नहीं किया है, या तो मानव शिकारियों के साथ या एआई के साथ जो अब बग ढूंढने की प्रक्रिया को बेहद आसान बनाते हैं।
कैरोल का कहना है, “यह चिंताजनक लगता है जब आप सोचते हैं कि पेशेवर वेबसाइटों के साथ ये बहुत ही पेशेवर संगीत समारोह अच्छी तरह से चल रहे हैं।” “तब आपको पहुंच मिलती है, और आपको एहसास होता है कि यह सब डक्ट टेप और प्रार्थनाओं द्वारा एक साथ रखा गया है।”