Actualitat

Un hacker fa servir Claude per aconseguir entrades VIP d’una infinitat de festivals de música

NOTÍCIES

15/07/2026

L’investigador va explotar una vulnerabilitat d’injecció SQL a la plataforma de venda d’entrades Front Gate Tickets.

Durant l’estiu els festivals de música creixen i es multipliquen, tot i que alguns estan tan cobejats que aconseguir entrades és una tasca impossible. Però i si poguessis crear entrades addicionals per a tu pel morro? Això és el que ha demostrat un investigador de seguretat que es diu Ian Carroll.

El hacker ètic explica com es va colar al sistema de la plataforma de venda d’entrades Front Gate Tickets, propietat de Live Nation, i es va adonar que podia emetre una quantitat ingent de tiquets. Aquest portal presta serveis als festivals més importants dels EUA, com ara Lollapalooza, Bonnaroo, Austin City Limits, Electric Daisy Carnival i South by Southwest.

«Va ser genial veure una entrada de 4.000 dòlars i poder prémer un botó i emetre’n tantes com volgués», ha explicat a Wired. 

«Podria assistir a tots els esdeveniments sense limitacions ni restriccions; podria aconseguir el passi per al backstage o qualsevol cosa que venguin als supervips fins i tot si les entrades estan esgotades», ha afegit. 

Però com va aconseguir Carroll aquesta gesta? Per aconseguir-ho va tenir una aliada inestimable: la Claude d’Anthropic. La coneguda IA ​​li va permetre identificar una vulnerabilitat generada a partir d’una fallada d’injecció de SQL no autenticat a l’API del dispositiu de Front Gate. 

Aquest tipus de vulnerabilitats web permeten que els atacants manipulin les consultes a la base de dades quan les aplicacions no validen l’entrada de l’usuari correctament. 

En un primer moment, l’investigador no va poder penetrar a la pàgina. El tallafocs de l’aplicació web del lloc va bloquejar les temptatives de hackeig. Aleshores va ser quan va pensar a ‘demanar el comodí de la trucada’ i recórrer a l’últim model d’IA d’Anthropic, Claude Opus 4.7. 

Gràcies a aquesta eina el hacker va poder descobrir que el tallafoc només inspeccionava la capa externa de les consultes SQL enviades. En encapsular la consulta maliciosa dins una subconsulta imbricada, la IA va generar una càrrega útil que va eludir la protecció.

Després d’esquivar el tallafocs, Carroll va poder accedir a una base de dades amb més de 500 taules. Entre la informació exposada hi havia dades d’inici de sessió de treballadors i tokens de restabliment de contrasenya en temps real. Mitjançant els seus tokens va aconseguir privilegis d’administrador de la plataforma i a partir d’aquí tot va ser bufar i fer ampolles. 

Aquest accés administratiu li donava l’oportunitat de crear entrades per a qualsevol esdeveniment organitzat a través de Front Game, com els paquets prèmium esmentats. 

Divulgació responsable

Òbviament, l’investigador només va voler informar de la fallada i no aprofitar-se’n. Així, explica que mai no va arribar a generar ni bescanviar cap entrada. 

«Em vaig aturar aquí i no vaig revisar cap registre més enllà del necessari per confirmar el problema. El punt va quedar clar: una sol·licitud no autenticada a una API d’escaneig era suficient per convertir-se en administrador d’EDC, Bonnaroo i qualsevol altre festival a la plataforma», ha aclarit. 

L’expert va advertir del risc i d’altres addicionals, com ara que els actors d’amenaces poguessin bescanviar tokens de restabliment de contrasenya actius per segrestar comptes d’empleats i clients. 

Com a mostra de la seva bona fe, el hacker ètic va comunicar les seves troballes a Front Gate el 25 d’abril passat, i l’empresa va resoldre el problema l’endemà mateix.

Llegiu la notícia original al seu lloc web oficial fent clic en aquest mateix enllaç