Riset Keamanan: AI Claude Temukan Celah Tiket Festival Musik AS

Penulis:Hamzah Nurhamzah
Terbit:
⏱️5 menit membaca
Bagikan:
Ilustrasi AI Claude Opus 4.7 menemukan celah keamanan pada sistem tiket Front Gate Tickets
  • Peneliti Ian Carroll temukan celah keamanan di Front Gate Tickets dengan AI Claude Opus 4.7
  • Celah memungkinkan akses ke jutaan data pelanggan dan staf serta penerbitan tiket gratis
  • Kerentanan SQL injection berhasil melewati web application firewall dengan bantuan AI
  • Tidak ada otentikasi dua faktor pada akun administrator Front Gate
  • Front Gate klaim telah menambal celah dalam 24 jam tanpa bukti eksploitasi
  • Insiden tunjukkan potensi AI dalam menemukan bug keamanan di berbagai sistem internet

JBNews.id — Seorang peneliti keamanan asal Amerika Serikat berhasil mengeksploitasi celah keamanan pada sistem tiket milik Front Gate Tickets dengan bantuan kecerdasan buatan (AI) Claude Opus 4.7. Celah tersebut memungkinkan akses penuh ke jutaan data pelanggan dan staf, serta penerbitan tiket secara gratis untuk berbagai festival musik besar.

Peneliti bernama Ian Carroll menemukan kerentanan itu pada April 2026. Front Gate Tickets merupakan anak perusahaan Live Nation Entertainment, induk usaha Ticketmaster, yang menangani tiket untuk hampir semua festival musik besar di AS seperti Lollapalooza, South by Southwest, dan Austin City Limits.

Carroll menggunakan Claude Opus 4.7, model AI paling canggih dari Anthropic saat itu, untuk mengidentifikasi dan mengeksploitasi celah tersebut. Ia menemukan bahwa situs Front Gate memiliki bug yang memungkinkannya mengakses jutaan catatan pelanggan dan staf, serta menerbitkan tiket untuk acara apa pun tanpa batasan nilai.

“Cukup keren melihat tiket seharga US$4.000, dan saya bisa menekan tombol lalu menerbitkannya sebanyak yang saya mau,” ujar Carroll yang juga pendiri startup Seats.aero. “Saya bisa pergi ke setiap acara tanpa batasan: saya bisa mendapatkan backstage pass atau apa pun yang dijual untuk super VIP—bahkan jika sudah terjual habis.”

Carroll tidak menyalahgunakan kemampuannya. Ia melaporkan temuan itu ke Front Gate yang kemudian menambal kerentanan tersebut. Dalam pernyataan resmi kepada WIRED, Front Gate berterima kasih kepada Carroll dan menyebut insiden itu sebagai kolaborasi sukses yang menghasilkan peningkatan keamanan.

“Ini diselesaikan dalam 24 jam, dan kami dapat mengonfirmasi tidak ada bukti eksploitasi, dampak pada tiket, atau kompromi informasi pelanggan,” bunyi pernyataan Front Gate. “Masalah ini diidentifikasi oleh peneliti keamanan yang bertanggung jawab yang menggunakan alat bantu AI untuk melewati kontrol keamanan firewall standar dan mengakses API internal yang digunakan oleh pemindai masuk di tempat festival.”

Proses Eksploitasi Celah

Carroll pertama kali menyadari Front Gate beberapa bulan sebelumnya saat mempertimbangkan menghadiri Electric Daisy Carnival di kampung halamannya, Las Vegas. Ia melihat festival tersebut menggunakan Front Gate dan menemukan bahwa perusahaan yang sama menangani tiket untuk hampir semua festival besar AS selain Coachella.

“Ini seperti Ticketmaster tetapi untuk festival musik,” kenang Carroll. “Mereka memiliki monopoli.”

Sebagai peneliti keamanan yang berspesialisasi dalam menemukan kerentanan web, Carroll memutuskan menyelidiki domain Front Gate. Ia segera menemukan kerentanan SQL injection—cacat umum yang memungkinkan peretas memasukkan perintah ke kolom teks di situs web. Namun, web application firewall tampaknya memblokir eksploitasi.

Carroll kemudian meminta Claude Opus 4.7 untuk menemukan cara mengeksploitasi celah tersebut. AI itu langsung membuat kode teknik peretasan yang melewati firewall. “Ini pertama kalinya saya memiliki kerentanan yang tidak saya pahami sepenuhnya,” kata Carroll. “Saya harus membaca kembali apa yang ditulis Claude untuk memahami bypass-nya, karena saya tidak menulisnya. Claude melakukannya sepenuhnya sendiri.”

Claude menemukan bahwa “nested SQL query”—kueri SQL di dalam kueri SQL lain—dapat menghindari deteksi firewall. AI itu kemudian menulis skrip yang menampilkan sampel dari tabel 500 basis data informasi pelanggan yang terekspos.

Akses Administrator dan Dampak Potensial

Carroll meyakini kerentanan itu akan memberikan akses ke informasi jutaan pelanggan, termasuk nama, email, dan alamat surat—tetapi tidak termasuk detail kartu kredit—serta data staf Front Gate. Dengan akses ke data staf, Carroll menemukan cara mengambil alih akun staf.

Ia mencari akun super administrator, mengklik opsi reset kata sandi, dan menemukan kode reset yang dikirim ke email administrator tersimpan di backend situs. Ia menggunakannya untuk mengonfirmasi reset, menetapkan kata sandi baru, dan mengambil alih akun administrator.

Tidak lama kemudian, ia melihat tiket termahal untuk Bonnaroo dan menambahkannya sebagai tiket kompensasi ke keranjang belanja. “Sepertinya Anda bisa melakukannya untuk setiap acara yang Anda inginkan,” kata Carroll. Ia tidak menyelesaikan pesanan karena khawatir melanggar batas dan dituntut pidana.

Carroll terkejut betapa mudahnya metode pengambilalihan itu: Tidak ada otentikasi dua faktor yang mencegah kata sandi yang bocor, dicuri, atau ditebak memberikan akses penuh. “Ada satu perusahaan terpusat yang menerbitkan semua tiket untuk setiap festival,” kata Carroll. “Bahkan tanpa kerentanan ini, jika Anda tahu kata sandi seseorang, Anda bisa masuk tanpa verifikasi dan menerbitkan tiket gratis.”

Yang paling menonjol, menurut Carroll, adalah Front Gate tampaknya tidak melakukan audit keamanan yang memadai terhadap situsnya sendiri, baik dengan pemburu manusia maupun AI. “Rasanya mengkhawatirkan ketika Anda berpikir festival musik profesional dengan situs web profesional berjalan dengan baik,” kata Carroll. “Lalu Anda mendapatkan akses, dan Anda menyadari semuanya disatukan dengan lakban dan doa.”

Implikasi Keamanan dan Respons Anthropic

Carroll—yang menjadi bagian dari Program Verifikasi Siber Anthropic, yang memungkinkan peneliti keamanan menggunakan alat AI untuk fungsi peretasan tertentu—mengaku terkejut betapa mudahnya Claude menghasilkan elemen kunci tekniknya. “Saya pikir ada kemungkinan sangat besar bahwa ia bisa menemukan eksploitasi ini dari ujung ke ujung tanpa saya melakukan apa pun sama sekali,” ujarnya.

Anthropic merespons dengan pernyataan bahwa mereka “menciptakan Program Verifikasi Siber untuk membuat kemampuan keamanan canggih tersedia bagi para pembela sehingga mereka dapat melakukan penelitian seperti ini yang membantu membuat kode di dunia lebih aman.” Perusahaan menambahkan bahwa jika Carroll tidak menjadi bagian dari program, penggunaan Claude untuk meretas sistem Front Gate akan terdeteksi dan diblokir.

Dalam tanggapannya, Front Gate berargumen bahwa pengamanan keamanan perusahaan membatasi eksposur informasi pribadi, bahwa penerbitan tiket palsu akan meninggalkan jejak audit, dan tiket yang diterbitkan peretas akan terdeteksi dan dibatalkan sebelum digunakan. Carroll membantah klaim tersebut. Ia mengatakan berhasil mendapatkan hak istimewa super administrator tanpa respons dari perusahaan, dan benar-benar mengakses situs melalui portal login publik.

Carroll juga mencatat bahwa Front Gate tidak mengklaim memiliki bukti bahwa kerentanan itu tidak pernah dieksploitasi sebelumnya. Lebih lanjut, Front Gate mengonfirmasi temuan Carroll setelah ia membagikan draf posting blog tentang temuannya kepada perusahaan, sebelum WIRED menghubungi Front Gate. Dalam tanggapannya kepada Carroll saat itu, perusahaan tidak membantah bahwa ia dapat menghasilkan tiket sesuka hati.

Insiden ini menunjukkan betapa luasnya AI dapat menggali bug yang dapat diretas di setiap aspek internet. Dengan bantuan AI, proses menemukan dan mengeksploitasi kerentanan keamanan menjadi jauh lebih mudah dan cepat, menghadirkan tantangan baru bagi industri keamanan siber global.

Untuk pembaca di Indonesia, kasus ini menjadi pengingat bahwa sistem tiket digital, termasuk yang digunakan untuk konser dan festival lokal, rentan terhadap serangan siber. Perusahaan penyelenggara acara perlu meningkatkan audit keamanan dan menerapkan otentikasi dua faktor untuk melindungi data pelanggan.

Kasus serupa sebelumnya terjadi ketika Pemerintah AS meminta Anthropic memperbaiki model AI mereka setelah ditemukan celah keamanan. Sementara itu, pemblokiran Claude Fable 5 oleh pemerintah AS menunjukkan betapa seriusnya isu keamanan AI di tingkat global.