
Falha no parâmetro deviceUID da API fgtapi.frontgatetickets.com, combinada com bypass de WAF e extração cega via modelo de linguagem, expôs credenciais, tokens ativos e controle total de inventário e checkout em múltiplos eventos.
| Componente | Front Gate Tickets (FGT), subsidiária da Live Nation/Ticketmaster; API fgtapi.frontgatetickets.com; middleware não autenticado ligado a scanners e box office físicos; banco MySQL fgs com mais de 500 tabelas |
| Vetor | Requisição GET não autenticada com parâmetro deviceUID concatenado diretamente em consulta SQL; injeção cega booleana após descoberta de que o WAF da AWS inspecionava apenas a camada externa do valor, permitindo payload aninhado em subconsulta derivada |
| Impacto | Leitura progressiva de dados sensíveis, sequestro de conta administrativa via token de redefinição de senha ativo na tabela RESET_TOKEN, escrita em inventário, preços e checkout de todos os festivais na plataforma, emissão ilimitada de ingressos gratuitos e busca em pedidos de clientes |
| Prioridade | Eliminar concatenação SQL em endpoints legados, endurecer inspeção do WAF contra subconsultas aninhadas, inventariar rotas não autenticadas com palavra-chave device, rotacionar tokens e credenciais expostos e estabelecer canal público de divulgação responsável |
| Artefatos | Domínio fgtapi.frontgatetickets[.]com; nomes de dispositivo retornados como oráculo booleano (MC70-023 e Intellitix Upload); tabelas RESET_TOKEN, credenciais de equipe, registros de clientes e tokens de autenticação em tempo real |
| Mitigação | Correção reportada como rápida pelo fornecedor; programa de bug bounty indicado como futuro; pesquisador interrompeu coleta em massa após comprovar controle administrativo em eventos como EDC e Bonnaroo |
Uma falha crítica de injeção SQL não autenticada na plataforma Front Gate Tickets (FGT), operada como subsidiária da Live Nation e da Ticketmaster, permitiu que um pesquisador obtivesse controle administrativo completo sobre o ecossistema de bilhetagem de grandes festivais de música nos Estados Unidos, entre eles EDC, Bonnaroo e Outside Lands. O caso combina infraestrutura legada de venda online com integração a hardware de scanner e box office no local, expondo um middleware acessível sem autenticação por meio de rotas da API que exigiam o parâmetro deviceUID.
O trabalho partiu da observação de que diversos festivais convergiam para um conjunto reduzido de domínios antigos da FGT. Durante fuzzing direcionado à API hospedada em fgtapi.frontgatetickets[.]com, qualquer caminho contendo a palavra device gerava erro específico exigindo deviceUID, revelando superfície ligada a equipamentos de leitura e operações presenciais. Testes mostraram que o valor numérico 12345 era aceito, enquanto a inclusão de aspas simples fazia a requisição travar, comportamento compatível com concatenação direta do parâmetro em consulta SQL sem sanitização.
Mesmo com proteção por Web Application Firewall da AWS na frente do endpoint, ferramentas convencionais de automação de injeção SQL não obtiveram progresso. O pesquisador então recorreu ao Claude Code executando o modelo Opus, que identificou que o WAF analisava somente a camada externa da entrada, de modo que cargas aninhadas dentro de subconsulta derivada passavam sem bloqueio. A partir daí foi construída uma injeção cega booleana explorando peculiaridade do MySQL em que certas operações entre string e número coagem o resultado para zero, usando variações na resposta — nomes de dispositivo distintos — como oráculo para extrair dados bit a bit.
O banco fgs continha mais de quinhentas tabelas, incluindo credenciais de equipe, registros de clientes e tokens de autenticação ativos. Ao ler uma entrada válida na tabela RESET_TOKEN após acionar fluxo de redefinição de senha, o pesquisador assumiu conta administrativa sem conhecer a senha original, obtendo permissão de escrita sobre todos os festivais hospedados na plataforma. O fornecedor corrigiu a falha rapidamente após contato por e-mail adivinhado, na ausência de contato público de segurança, e sinalizou a criação futura de programa de recompensas por vulnerabilidades.
A cadeia começa em descoberta de endpoint: fuzzing com ffuf sobre a API pública identificou rotas cujo caminho inclui device e retornam erro de middleware pedindo deviceUID. Esse parâmetro alimenta consulta SQL sem parametrização adequada; a suspensão da requisição ao inserir aspas simples indica parsing vulnerável no backend que atende hardware de campo.
A camada defensiva perimetral não impediu exploração porque a inspeção do WAF ficou limitada à superfície do valor enviado. Quando a carga maliciosa foi encapsulada em subconsulta derivada, a regra externa não capturou o conteúdo interno, abrindo espaço para tentativas manuais e assistidas por modelo de linguagem que iteraram até uma injeção cega booleana funcional. Como o endpoint não devolvia resultado direto da consulta, o atacante precisou inferir verdadeiro ou falso a partir de diferenças observáveis na resposta HTTP — neste caso, alternância entre dois nomes de dispositivo reais retornados pelo sistema.
Com oráculo confiável, a extração seguiu leitura incremental de tabelas sensíveis. O passo decisivo para escalonamento privilegiado não foi quebra de senha, mas reutilização de token de redefinição ainda válido na tabela RESET_TOKEN, obtido após disparar o fluxo legítimo de reset para uma conta administrativa. Isso converteu leitura não autenticada em sessão com privilégios de escrita sobre inventário, precificação e checkout de múltiplos eventos a partir de uma única requisição GET inicial.
O pesquisador declarou ter interrompido a coleta em massa assim que comprovou controle equivalente ao de administradores de festivais de grande porte. O relato reforça um padrão emergente em pesquisa de vulnerabilidades assistida por IA: modelos de linguagem conseguem raciocinar sobre limitações de WAF, adaptar técnicas de injeção cega e montar cadeias multiestágio com pouca orientação humana explícita, sem que isso reduza a gravidade intrínseca da falha de implementação no software de bilhetagem.
A exposição não se restringe a um único festival. A FGT centraliza bilhetagem para diversos eventos de música nos Estados Unidos que compartilham a mesma base operacional e domínios legados, o que amplifica o raio de impacto de qualquer falha na API de dispositivos.
O middleware afetado liga operações de venda presencial — scanners e box office — ao mesmo núcleo de dados usado por vendas online, de modo que uma rota não autenticada no ambiente de hardware pode alcançar tabelas com credenciais, pedidos e tokens usados em autenticação de equipe e clientes.
- API fgtapi.frontgatetickets[.]com com rotas contendo device e parâmetro deviceUID vulnerável
- Festivais citados no contexto: EDC, Bonnaroo e Outside Lands, entre outros na mesma plataforma
- Banco fgs com mais de 500 tabelas, incluindo RESET_TOKEN, credenciais de staff e registros de clientes
- Sistemas de inventário, preços, checkout e emissão de ingressos administrativos (comp) sob controle da conta comprometida
- Infraestrutura legada compartilhada entre vendas digitais e operações físicas de bilheteria
Equipes de segurança de aplicação e operações que mantêm APIs legadas para dispositivos de campo devem procurar padrões de requisição anômala contra parâmetros que historicamente aceitavam identificadores simples de hardware. Travamentos ou tempos de resposta incomuns após caracteres de escape SQL em entradas numéricas ou pseudo-numéricas são sinais clássicos de concatenação insegura.
Em ambientes protegidos por WAF, a telemetria deve correlacionar tentativas bloqueadas na camada externa com respostas 200 subsequentes que carregam subconsultas ou expressões derivadas no mesmo parâmetro, padrão compatível com bypass por aninhamento. Para bilhetagem, monitorar criação atípica de ingressos gratuitos, alterações massivas de preço ou inventário fora de janelas de manutenção, e volume elevado de buscas em base de pedidos por termos genéricos também ajuda a detectar abuso pós-comprometimento.
Logs de autenticação e de fluxos de redefinição de senha merecem atenção: consumo de token RESET_TOKEN seguido de login administrativo sem tentativas prévias de senha indica reutilização de segredo de uso único ainda persistido em banco.
- Requisições GET não autenticadas a rotas device com deviceUID contendo aspas, comentários SQL ou expressões aritméticas misturando strings
- Alternância repetitiva entre valores de resposta usados como oráculo booleano (ex.: nomes de dispositivo distintos para condições verdadeira e falsa)
- Picos de leitura sequencial contra tabelas sensíveis sem sessão autenticada correspondente
- Ativação de reset de senha administrativo seguida de autenticação bem-sucedida a partir de endereço ou sessão não correlacionados ao titular habitual
- Emissão ou resgate anormal de ingressos comp e consultas amplas em pedidos de clientes
A correção reportada pelo fornecedor deve ser validada com testes de regressão focados em parametrização obrigatória de todas as consultas que consomem deviceUID e parâmetros equivalentes em rotas legadas. WAFs devem evitar inspeção apenas superficial: regras precisam considerar subconsultas, funções derivadas e normalização de entrada antes da avaliação de assinaturas.
Após remediação de código, assume-se necessária rotação de tokens e credenciais que poderiam ter sido lidos enquanto a falha estava ativa, com prioridade para entradas da tabela RESET_TOKEN e contas administrativas. A ausência de contato público de segurança atrasou a divulgação responsável; organizações com dados financeiros e pessoais em escala de festival devem publicar canal claro de reporte e programa de recompensas estruturado.
Do ponto de vista arquitetural, separar middleware de dispositivos de campo do núcleo administrativo completo, impor autenticação forte mesmo em APIs aparentemente internas e reduzir superfície de tabelas acessíveis a contextos de leitura mínima diminui o impacto de falhas residuais em componentes antigos.
- Substituir concatenação SQL por consultas parametrizadas em todos os endpoints que processam deviceUID
- Revisar regras do WAF da AWS para inspecionar conteúdo aninhado e subconsultas, não apenas a string externa do parâmetro
- Inventariar e desativar ou restringir rotas device não autenticadas expostas à internet
- Rotacionar tokens de RESET_TOKEN, sessões administrativas e credenciais de equipe com base em janela de exposição estimada
- Publicar security@[.] ou equivalente verificado e programa de bug bounty para acelerar reportes externos
- Monitorar emissão de ingressos comp, alterações de preço e consultas em massa a pedidos após deploy da correção
0 Comentários