/क्लाउड ने एक हैकर को लगभग हर अमेरिकी संगीत समारोह के लिए टिकट जारी करने का तरीका ढूंढने में मदद की
क्लाउड ने एक हैकर को लगभग हर अमेरिकी संगीत समारोह के लिए टिकट जारी करने का तरीका ढूंढने में मदद की

क्लाउड ने एक हैकर को लगभग हर अमेरिकी संगीत समारोह के लिए टिकट जारी करने का तरीका ढूंढने में मदद की

एक सुरक्षा शोधकर्ता के रूप में, जो वेब कमजोरियों को खोजने में माहिर हैं, उन्होंने फ्रंट गेट के वेब डोमेन में बग खोजने का फैसला किया। उन्होंने शीघ्र ही एसक्यूएल इंजेक्शन भेद्यता की खोज की – एक सामान्य दोष जो हैकर को किसी वेबसाइट पर टेक्स्ट फ़ील्ड में कमांड इनपुट करने की अनुमति देता है, जिससे वे साइट के बैकएंड पर चलते हैं और कभी-कभी डेटाबेस में संग्रहीत डेटा को वापस भेज देते हैं। लेकिन ऐसा प्रतीत हुआ कि साइट पर एक वेब एप्लिकेशन फ़ायरवॉल उसे इसका फायदा उठाने से रोक रहा है।

इसलिए उन्होंने उस समय आम जनता के लिए उपलब्ध कराए गए सबसे उन्नत एआई मॉडल एंथ्रोपिक क्लॉड ओपस 4.7 से दोष का फायदा उठाने का एक तरीका खोजने के लिए कहा। इसने तुरंत एक हैकिंग तकनीक को कोडित कर दिया जिसने फ़ायरवॉल को बायपास कर दिया। कैरोल कहती हैं, ”वास्तव में, यह पहली बार था कि मुझमें कोई ऐसी भेद्यता थी जिसे मैं पूरी तरह समझ नहीं पाई थी।” “बायपास को समझने के लिए मुझे वापस जाना पड़ा और क्लॉड ने जो लिखा था उसे पढ़ना पड़ा, क्योंकि मैंने इसे नहीं लिखा था। क्लाउड ने इसे पूरी तरह से स्वयं ही लिखा था।”

क्लाउड ने, वास्तव में, पाया था कि एक “नेस्टेड SQL क्वेरी” – एक अन्य SQL क्वेरी के अंदर एक SQL क्वेरी – फ़ायरवॉल की पहचान से बच सकती है। जल्द ही एआई टूल ने एक स्क्रिप्ट लिखी थी जिसमें उजागर ग्राहक जानकारी के 500 डेटाबेस की तालिका से नमूने प्रदर्शित किए गए थे। कुल मिलाकर, कैरोल का मानना ​​​​है कि जो भेद्यता उसने और क्लाउड ने पाई, उससे लाखों ग्राहकों की जानकारी तक पहुंच हो सकती थी, जिसमें नाम, ईमेल और मेलिंग पते शामिल थे – लेकिन क्रेडिट कार्ड विवरण नहीं – साथ ही फ्रंट गेट के कर्मचारियों की जानकारी तक पहुंच प्रदान की गई थी।

स्टाफ डेटा तक पहुंच के साथ, कैरोल को तुरंत पता चला कि वह स्टाफ खातों को भी अपने कब्जे में ले सकता है। उन्होंने एक सुपर एडमिनिस्ट्रेटर के खाते की खोज की, उसके पासवर्ड को रीसेट करने के विकल्प पर क्लिक किया, और उस रीसेट कोड को ढूंढने में सक्षम हुए जिसे साइट ने साइट के बैकएंड में संग्रहीत व्यवस्थापक के ईमेल पर भेजा था। फिर उसने इसका उपयोग रीसेट की पुष्टि करने, एक नया पासवर्ड सेट करने और व्यवस्थापक के खाते को संभालने के लिए किया।

जल्द ही वह बोनारू के लिए मिलने वाले सबसे महंगे टिकटों को देख रहा था और उन्हें एक प्रकार की शॉपिंग कार्ट में कॉम्प टिकट के रूप में जोड़ रहा था। कैरोल का कहना है, “ऐसा लगता है जैसे आप हर एक इवेंट के लिए ऐसा कर सकते हैं जो आप करना चाहते थे।” (उसने वास्तव में एक लाइन पार करने और धोखाधड़ी का आरोप लगने के डर से एक ऑर्डर पूरा नहीं किया और कोई टिकट जारी नहीं किया।)

कैरोल को यह देखकर आश्चर्य हुआ कि उसकी अधिग्रहण विधि कितनी आसान थी: किसी भी दो-कारक प्रमाणीकरण ने लीक, चोरी या अनुमानित पासवर्ड को किसी को पूर्ण पहुंच देने से नहीं रोका। कैरोल का कहना है, ”केवल यह एक केंद्रीकृत कंपनी है जो हर एक त्योहार के लिए सभी टिकट जारी करती है।” “और इस भेद्यता के बिना भी, यदि आप किसी का पासवर्ड जानते हैं, तो आप बिना किसी सत्यापन के लॉग इन कर सकते हैं और मुफ्त टिकट जारी कर सकते हैं।”

कैरोल का कहना है कि शायद सबसे उल्लेखनीय बात यह है कि फ्रंट गेट ने साधारण कमजोरियों के लिए अपनी साइट का ठीक से ऑडिट नहीं किया है, या तो मानव शिकारियों के साथ या एआई के साथ जो अब बग ढूंढने की प्रक्रिया को बेहद आसान बनाते हैं।

कैरोल का कहना है, “यह चिंताजनक लगता है जब आप सोचते हैं कि पेशेवर वेबसाइटों के साथ ये बहुत ही पेशेवर संगीत समारोह अच्छी तरह से चल रहे हैं।” “तब आपको पहुंच मिलती है, और आपको एहसास होता है कि यह सब डक्ट टेप और प्रार्थनाओं द्वारा एक साथ रखा गया है।”