Хиймэл оюун ухаан вэб сайтын хамгаалалтыг нэвтлэх аргыг илрүүлэв

Published:

Энэхүү мэдээ, нийтлэлийг хиймэл оюун боловсруулав.

Аюулгүй байдлын судлаач Claude загварыг ашиглан томоохон тасалбар борлуулагчийн системийн сул талыг олж илрүүлжээ.

Аюулгүй байдлын судлаач Кэрролл “Front Gate” компанийн вэб сайтад SQL injection буюу өгөгдлийн сан руу хортой код илгээх сул тал байгааг олж тогтоосон ч сайтын галт хана (firewall) хандалтыг нь хааж байв. Улмаар тэрээр Anthropic компанийн “Claude Opus 4.7” хиймэл оюун ухааныг ашиглан галт ханыг тойрч гарах аргыг боловсруулжээ. Хиймэл оюун ухаан нь “nested SQL query” буюу өгөгдлийн сан доторх өгөгдлийн сан руу хандах аргыг ашиглан галт ханыг амжилттай нэвтэрсэн байна.

Судлаачийн үзэж буйгаар, уг сул тал нь сая сая хэрэглэгч болон ажилтнуудын нэр, цахим шуудан, хаягийн мэдээллийг алдах эрсдэлтэй байжээ. Кэрролл системийн дотоод мэдээлэлд нэвтэрснээр администраторын бүртгэлийг удирдах эрхтэй болж, улмаар тасалбар үнэгүй гаргах боломжтой болсон байна. Тэрээр туршилтын явцад Bonnaroo хөгжмийн наадмын үнэтэй тасалбаруудыг сагсанд нэмж үзсэн боловч хууль эрх зүйн эрсдэлээс сэргийлж гүйлгээг дуусгаагүй аж.

Кэрролл тус компанийн цахим систем нь хоёр хүчин зүйлийн баталгаажуулалт (2FA) зэрэг хамгаалалтын энгийн арга хэрэгсэлгүй байсныг онцолжээ. Мэргэжлийн түвшинд ажиллах ёстой томоохон вэб сайтууд ийм эмзэг байдалд байгаа нь харамсалтай гэдгийг тэрээр тэмдэглэв. Энэхүү үйл явдал нь компаниуд вэб сайтынхаа аюулгүй байдалд хангалттай аудит хийдэггүй, технологийн сул тал хэрхэн амархан илэрч болохыг харуулсан байна.

Дэлгэрэнгүйг эх сурвалжаас харах

Эх сурвалжийг нээх ↓

As a security researcher who specializes in finding web vulnerabilities, he decided to poke around Front Gate’s web domain for bugs. He quickly found what looked like a SQL injection vulnerability—a common flaw that allows a hacker to input commands into a text field on a website, causing them to run on the site’s backend and sometimes send back data stored there in a database. But a web application firewall on the site appeared to be blocking him from exploiting it.

So he asked Claude Opus 4.7, the most advanced AI model Anthropic made available to the general public at the time, to find a way to exploit the flaw. It immediately coded a hacking technique that bypassed the firewall. “It was the first time, really, that I had a vulnerability that I didn’t fully understand,” says Carroll. “I had to go back and read what Claude had written to understand the bypass, because I didn’t write it. Claude did it completely by itself.”

Claude had, in fact, found that a “nested SQL query”—a SQL query inside of another SQL query—could evade the firewall’s detection. Soon the AI tool had written a script that displayed samples from a table of 500 databases of exposed customer information. In total, Carroll believes that the vulnerability he and Claude found would have provided access to the information of millions of customers, including names, emails, and mailing addresses—but not credit card details—as well as that of Front Gate’s staff.

With access to staff data, Carroll quickly found that he could also take over staff accounts. He searched for a super administrator’s account, clicked the option to reset its password, and was able to find the reset code that the site had sent to the administrator’s email stored in the site’s backend. He then used it to confirm the reset, setting a new password and taking over the administrator’s account.

Soon he was looking at the most expensive tickets he could find for Bonnaroo and adding them as comp tickets to a kind of shopping cart. “It seems like you could do that for every single event that you wanted to,” Carroll says. (He didn’t actually complete an order and issue any tickets for fear of crossing a line and being charged with fraud.)

Carroll was surprised to see just how easy his takeover method was: No two-factor authentication prevented a leaked, stolen, or guessed password from giving someone full access. “There’s just this one centralized company issuing all tickets for every single festival,” Carroll says. “And even without this vulnerability, if you knew someone’s password, you could just log in without any verification and issue free tickets.”

Perhaps most remarkable, Carroll says, is that Front Gate didn’t appear to have properly audited its own site for simple vulnerabilities, either with human hunters or the AI ones that seem to now make the bug-finding process scarily easy.

“It just feels concerning when you think these very professional music festivals with professional websites are well-run,” says Carroll. “Then you get access, and you realize it’s all held together by duct tape and prayers.”

- Зар сурталчилгаа -

Та юу гэж бодож байна?

Сэтгэгдлээ оруулна уу!
Please enter your name here

MFC.mn сайтад сэтгэгдэл оруулахад анхаарах зүйлс

Холбоотой

spot_img

Шинэ

spot_img