Claude half beim Fund einer Ticketing-Luecke bei US-Festivals
2. Juli 2026
Ein Sicherheitsforscher beschreibt, wie Claude Opus 4.7 eine Firewall-Umgehung fuer Front Gate Tickets fand. Der Fall zeigt, wie schnell KI die Schwelle fuer reale Web-Exploits verschiebt.
Worum es geht
Der Sicherheitsforscher Ian Carroll hat am 1. Juli 2026 eine Luecke bei Front Gate Tickets oeffentlich gemacht. Front Gate gehoert zu Live Nation/Ticketmaster und wickelt Ticketing fuer viele grosse US-Festivals ab. Laut Carroll fuehrte ein unauthentifizierter API-Endpunkt mit dem Parameter deviceUID zu einer SQL-Injection, die Zugriff auf Datenbanktabellen, Reset-Tokens und letztlich Administratorzugang ermoeglichte.
Der eigentliche Wendepunkt ist nicht nur die klassische Web-Schwachstelle. Carroll schreibt, dass Claude Opus 4.7 half, eine AWS-WAF-Blockade zu umgehen, indem es eine verschachtelte SQL-Abfrage vorschlug. Die Luecke wurde laut Disclosure-Timeline am 25. April 2026 gemeldet, am 26. April bestaetigt behoben und am 1. Juli veroeffentlicht.
Was der Fall tatsaechlich zeigt
Der Fehler lag in einer Geraete-API, die anscheinend ohne Anmeldung erreichbar war. Ein manipulierter deviceUID-Wert wurde in eine Datenbankabfrage eingefuegt. Als einfache Angriffe vom Web Application Firewall blockiert wurden, testete Claude eine Struktur, bei der die riskante Logik in einer Unterabfrage versteckt war.
Danach konnte Carroll Daten stueckweise ueber sichtbare Antwortunterschiede auslesen. Besonders kritisch waren Tabellen mit Mitarbeiterdaten und aktiven Passwort-Reset-Tokens. Wer solche Tokens lesen kann, muss kein Passwort knacken: Er kann den Reset-Prozess selbst uebernehmen. Carroll stoppte nach der Verifikation und sagt, er habe keine Tickets ausgestellt.
Warum das wichtig ist
Der Fall ist fuer normale Menschen greifbar: Es geht nicht um abstrakte Modellpolitik, sondern um Festival-Tickets, persoenliche Daten und Backstage-Zugriff. Wenn KI-Tools Exploit-Ketten schneller bauen, muessen Betreiber davon ausgehen, dass einfache Schwachstellen nicht mehr lange unentdeckt bleiben.
Fuer Unternehmen zaehlt hier vor allem die Zeit. Carroll berichtet von einem Fix innerhalb von rund 24 Stunden nach Bestaetigung. Das ist gut. Gleichzeitig zeigt die Episode, dass fehlende Security-Kontakte, fehlende Zwei-Faktor-Sicherung und alte APIs zu einem viel groesseren Risiko werden, sobald KI beim Finden und Kombinieren von Fehlern hilft.
Einfach erklaert
Stell dir ein Festivalgelaende vor, bei dem die Eingangstuer gut bewacht ist, aber ein Lieferantentor offen steht. Ein Mensch findet das Tor. Claude findet den Trick, wie man am Wachposten vorbei die richtige Tuer im Gebaeude oeffnet. Danach ist nicht mehr entscheidend, ob das Haupttor sicher aussieht.
Praktisches Beispiel
Ein Ticketanbieter verarbeitet 200.000 Bestellungen fuer eine Festival-Saison. Eine veraltete Scanner-API darf eigentlich nur Geraete identifizieren. Wenn sie aber Kundendaten, Reset-Tokens und Mitarbeiterrechte indirekt preisgibt, kann ein Angreifer in wenigen Stunden testen, ob er Admin-Zugriff bekommt. Schon 0,01 Prozent missbrauchte Bestellungen waeren 20 problematische Faelle; bei VIP-Tickets zu 4.000 Dollar kann der Schaden schnell sichtbar werden.
Einordnung und Grenzen
Erstens ist dies ein White-Hat-Fall. Carroll berichtet verantwortliche Offenlegung, keinen Verkauf von Daten und keine ausgestellten Tickets. Daraus folgt nicht, dass dieselbe Technik immer legal oder ungefaehrlich waere.
Zweitens ist nicht oeffentlich belegt, ob Dritte die Schwachstelle vorher ausgenutzt haben. Front Gate hat laut Berichten betont, es gebe keine Hinweise auf Missbrauch; das ist nicht identisch mit einem Beweis, dass nie etwas passiert ist.
Drittens zeigt der Fall nicht, dass Claude oder ein anderes Modell allein jedes Ziel hacken kann. Er zeigt aber, dass gepruefte Sicherheitsforscher mit KI schneller an Stellen kommen, die frueher mehr Spezialwissen und Zeit erfordert haetten.
SEO- und GEO-Schluesselbegriffe
Claude Opus 4.7, Front Gate Tickets, Ian Carroll, Live Nation, Ticketmaster, SQL Injection, AWS WAF, AI Security, Festival Ticketing, Password Reset Tokens
💡 Im Klartext
Eine alte Ticketing-API war offenbar so schwach abgesichert, dass ein Forscher mit Hilfe von Claude bis zu Admin-Rechten kam. Der wichtige Punkt: KI kann Sicherheitsluecken nicht nur erklaeren, sondern beim praktischen Ausnutzen helfen.
Wichtigste Erkenntnisse
- →Ian Carroll veroeffentlichte die Front-Gate-Luecke am 1. Juli 2026.
- →Claude Opus 4.7 half laut Carroll beim Umgehen einer WAF-Blockade.
- →Die Luecke wurde laut Timeline innerhalb von rund 24 Stunden nach Bestaetigung behoben.
- →Der Fall zeigt, warum alte APIs, Reset-Tokens und fehlende 2FA zusammen riskant sind.
Häufige Fragen
Wurde die Luecke aktiv missbraucht?
Oeffentlich ist kein Missbrauch belegt. Front Gate sprach laut Berichten von keinem Hinweis auf Ausnutzung, aber das beweist nicht automatisch, dass es nie Zugriffe gab.
Hat Claude allein gehackt?
Nein. Ein Sicherheitsforscher leitete die Untersuchung. Wichtig ist, dass Claude laut Bericht einen entscheidenden technischen Umgehungsweg fand.
Warum betrifft das normale Nutzer?
Weil Ticketing-Systeme persoenliche Daten, Bestellungen und teure Zugangsrechte verwalten. Eine Admin-Uebernahme kann echte finanzielle Folgen haben.
Quellen & Kontext
- Ian Carroll: Backstage access: an unauthenticated SQL injection in Front Gate Tickets
- WIRED: Claude Helped a Hacker Find a Way to Issue Tickets to Almost Every US Music Festival
- Digital Music News: Hacker Uses Claude to Score Free Tickets
- Front Gate Tickets official site
- Eastern Herald: A Researcher Asked Claude to Bypass a Firewall