Hack Alerta

Falha crítica no Front Gate Tickets permite controle total da plataforma com ajuda de IA

Uma vulnerabilidade crítica de injeção SQL não autenticada na plataforma Front Gate Tickets permitiu controle administrativo total com ajuda do modelo de IA Claude, expondo mais de 500 tabelas de dados sensíveis incluindo credenciais e tokens de autenticação.

Descoberta e escopo da vulnerabilidade

Uma vulnerabilidade crítica de injeção SQL não autenticada na plataforma Front Gate Tickets (FGT), subsidiária da Live Nation/Ticketmaster que gerencia ingressos para grandes festivais americanos como EDC, Bonnaroo e Outside Lands, permitiu a tomada de controle administrativo completa da plataforma. O pesquisador Ian Carroll identificou que quase todos os grandes festivais dos EUA utilizam os mesmos domínios FGT envelhecidos para processamento de ingressos.

Ao realizar fuzzing na API fgtapi.frontgatetickets.com com a ferramenta ffuf, o pesquisador descobriu que qualquer caminho de endpoint contendo a palavra "device" acionava um erro distinto que exigia o parâmetro deviceUID, expondo middleware não autenticado vinculado a hardware de scanner no local e caixa de bilheteria.

Vetor de exploração e bypass de WAF

Os testes revelaram que um valor deviceUID de 12345 era bem-sucedido, mas o acréscimo de uma única aspa causava o travamento da requisição, indicando que o parâmetro era concatenado diretamente em uma consulta SQL bruta sem sanitização.

Embora o endpoint estivesse atrás de um Web Application Firewall da AWS, ferramentas convencionais como sqlmap não conseguiram obter tração. O pesquisador então entregou o problema ao Claude Code executando o modelo Opus, que descobriu que o WAF apenas inspecionava a camada externa da entrada, permitindo que payloads de injeção aninhados dentro de uma subconsulta derivada escapassem sem detecção.

Como o endpoint não retornava saída direta de consulta, o Claude engenhou uma injeção SQL cega baseada em booleanos usando uma peculiaridade do MySQL onde uma string como 'x' adicionada a um número é coercida para zero.

Ao criar payloads como deviceUID = x'+(SELECT CASE WHEN THEN 1 ELSE 0 END)-- -, a resposta alternava entre dois nomes reais de dispositivo ("MC70-023" para verdadeiro, "Intellitix Upload" para falso), criando um oráculo confiável para extrair dados um bit por vez.

Impacto e alcance

A base de dados subjacente fgs continha mais de 500 tabelas, incluindo credenciais de funcionários, registros de clientes e tokens de autenticação em tempo real. As tabelas mais sensíveis expostas incluíam:

Tabela Campos sensíveis expostos
FGS_USER Email, passcode, passcode2, JSON de permissões
PERSON Email, passcode, token de redefinição
RESET_TOKEN / API_TOKEN Sessões e tokens OAuth em tempo real, resgatáveis

Ao ler uma entrada ativa da tabela RESET_TOKEN após acionar uma redefinição de senha, o pesquisador sequestrou uma conta administrativa sem jamais conhecer sua senha, ganhando acesso de escrita completo a todos os festivais na plataforma, incluindo inventário, precificação e sistemas de checkout.

Com acesso administrativo, um atacante poderia emitir ingressos gratuitos ilimitados "comp" para qualquer festival, pesquisar bancos de dados de pedidos de clientes à vontade (uma pesquisa de teste para "chris" retornou milhares de registros) e ler ou resgatar tokens de redefinição de senha para sequestrar contas de funcionários e clientes em toda a plataforma.

Análise técnica detalhada

Este caso destaca uma tendência crescente de pesquisa de vulnerabilidades assistida por IA, onde modelos de linguagem grandes como o Claude podem reverter autonomamente a lógica do WAF e construir exploits de injeção cega em múltiplas etapas com orientação humana mínima. Este padrão também foi visto na própria divulgação da Anthropic sobre ataques orquestrados por IA e testes independentes mostrando agentes de IA explorando falhas de injeção SQL sem instruções explícitas de hacking.

A infraestrutura de bilheteira legada que lida tanto com vendas ao consumidor quanto com operações físicas de caixa de bilheteria permanece um alvo atraente dada a escala de dados pessoais e financeiros envolvidos.

Medidas de mitigação recomendadas

Para organizações que utilizam plataformas de bilheteira similares, as seguintes medidas são recomendadas:

  • Implementar parametrização de consultas SQL em todos os endpoints de API
  • Realizar auditorias de segurança em sistemas de bilheteira legados
  • Estabelecer canais de reporte de vulnerabilidades públicos e acessíveis
  • Monitorar tráfego de API para padrões de injeção SQL incomuns
  • Revisar políticas de acesso administrativo e implementar autenticação multifator

Perguntas frequentes

Qual a severidade desta vulnerabilidade?
A vulnerabilidade é classificada como crítica, permitindo acesso administrativo completo sem autenticação prévia.

Os dados dos clientes foram exfiltrados?
O pesquisador optou por não exfiltrar dados em massa, afirmando que o ponto foi provado uma vez que o controle administrativo de nível EDC e Bonnaroo foi alcançado.

A Live Nation já corrigiu a falha?
A Front Gate Tickets e a Live Nation não tinham contato de segurança listado publicamente, forçando o pesquisador a adivinhar um email de divulgação válido. O vendor corrigiu a falha rapidamente e indicou que um programa de bug bounty está em andamento.


Baseado em publicação original de Cyber Security News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.