Descoberta e escopo da vulnerabilidade
Uma vulnerabilidade crítica de injeção SQL não autenticada na plataforma Front Gate Tickets (FGT), subsidiária da Live Nation/Ticketmaster que gerencia ingressos para grandes festivais americanos como EDC, Bonnaroo e Outside Lands, permitiu a tomada de controle administrativo completa da plataforma. O pesquisador Ian Carroll identificou que quase todos os grandes festivais dos EUA utilizam os mesmos domínios FGT envelhecidos para processamento de ingressos.
Ao realizar fuzzing na API fgtapi.frontgatetickets.com com a ferramenta ffuf, o pesquisador descobriu que qualquer caminho de endpoint contendo a palavra "device" acionava um erro distinto que exigia o parâmetro deviceUID, expondo middleware não autenticado vinculado a hardware de scanner no local e caixa de bilheteria.
Vetor de exploração e bypass de WAF
Os testes revelaram que um valor deviceUID de 12345 era bem-sucedido, mas o acréscimo de uma única aspa causava o travamento da requisição, indicando que o parâmetro era concatenado diretamente em uma consulta SQL bruta sem sanitização.
Embora o endpoint estivesse atrás de um Web Application Firewall da AWS, ferramentas convencionais como sqlmap não conseguiram obter tração. O pesquisador então entregou o problema ao Claude Code executando o modelo Opus, que descobriu que o WAF apenas inspecionava a camada externa da entrada, permitindo que payloads de injeção aninhados dentro de uma subconsulta derivada escapassem sem detecção.
Como o endpoint não retornava saída direta de consulta, o Claude engenhou uma injeção SQL cega baseada em booleanos usando uma peculiaridade do MySQL onde uma string como 'x' adicionada a um número é coercida para zero.
Ao criar payloads como deviceUID = x'+(SELECT CASE WHEN , a resposta alternava entre dois nomes reais de dispositivo ("MC70-023" para verdadeiro, "Intellitix Upload" para falso), criando um oráculo confiável para extrair dados um bit por vez.
Impacto e alcance
A base de dados subjacente fgs continha mais de 500 tabelas, incluindo credenciais de funcionários, registros de clientes e tokens de autenticação em tempo real. As tabelas mais sensíveis expostas incluíam:
| Tabela | Campos sensíveis expostos |
|---|---|
| FGS_USER | Email, passcode, passcode2, JSON de permissões |
| PERSON | Email, passcode, token de redefinição |
| RESET_TOKEN / API_TOKEN | Sessões e tokens OAuth em tempo real, resgatáveis |
Ao ler uma entrada ativa da tabela RESET_TOKEN após acionar uma redefinição de senha, o pesquisador sequestrou uma conta administrativa sem jamais conhecer sua senha, ganhando acesso de escrita completo a todos os festivais na plataforma, incluindo inventário, precificação e sistemas de checkout.
Com acesso administrativo, um atacante poderia emitir ingressos gratuitos ilimitados "comp" para qualquer festival, pesquisar bancos de dados de pedidos de clientes à vontade (uma pesquisa de teste para "chris" retornou milhares de registros) e ler ou resgatar tokens de redefinição de senha para sequestrar contas de funcionários e clientes em toda a plataforma.
Análise técnica detalhada
Este caso destaca uma tendência crescente de pesquisa de vulnerabilidades assistida por IA, onde modelos de linguagem grandes como o Claude podem reverter autonomamente a lógica do WAF e construir exploits de injeção cega em múltiplas etapas com orientação humana mínima. Este padrão também foi visto na própria divulgação da Anthropic sobre ataques orquestrados por IA e testes independentes mostrando agentes de IA explorando falhas de injeção SQL sem instruções explícitas de hacking.
A infraestrutura de bilheteira legada que lida tanto com vendas ao consumidor quanto com operações físicas de caixa de bilheteria permanece um alvo atraente dada a escala de dados pessoais e financeiros envolvidos.
Medidas de mitigação recomendadas
Para organizações que utilizam plataformas de bilheteira similares, as seguintes medidas são recomendadas:
- Implementar parametrização de consultas SQL em todos os endpoints de API
- Realizar auditorias de segurança em sistemas de bilheteira legados
- Estabelecer canais de reporte de vulnerabilidades públicos e acessíveis
- Monitorar tráfego de API para padrões de injeção SQL incomuns
- Revisar políticas de acesso administrativo e implementar autenticação multifator
Perguntas frequentes
Qual a severidade desta vulnerabilidade?
A vulnerabilidade é classificada como crítica, permitindo acesso administrativo completo sem autenticação prévia.
Os dados dos clientes foram exfiltrados?
O pesquisador optou por não exfiltrar dados em massa, afirmando que o ponto foi provado uma vez que o controle administrativo de nível EDC e Bonnaroo foi alcançado.
A Live Nation já corrigiu a falha?
A Front Gate Tickets e a Live Nation não tinham contato de segurança listado publicamente, forçando o pesquisador a adivinhar um email de divulgação válido. O vendor corrigiu a falha rapidamente e indicou que um programa de bug bounty está em andamento.