Seorang peneliti keamanan yang ahli dalam mencari celah di website memutuskan untuk memeriksa domain web Front Gate. Ia langsung menemukan celah yang disebut SQL injection—sebuah kesalahan umum yang membuat peretas bisa memasukkan perintah ke kolom teks di website, lalu perintah itu berjalan di bagian belakang situs dan bisa mengirim data dari database. Tapi ada firewall di situs itu yang menghalanginya memanfaatkan celah tersebut.
Kemudian ia meminta Claude Opus 4.7, model AI paling canggih buatan Anthropic saat itu, untuk mencari cara menembus celah itu. AI itu langsung membuat kode hacking yang berhasil melewati firewall. “Ini pertama kalinya saya menemukan celah yang tidak saya pahami sepenuhnya,” kata Carroll. “Saya harus membaca ulang kode yang ditulis Claude untuk mengerti cara menerobosnya, karena saya tidak menulisnya. Claude melakukannya sendiri.”
Ternyata Claude menemukan bahwa “nested SQL query”—query SQL di dalam query SQL lain—bisa menghindari deteksi firewall. Tak lama, AI itu menulis skrip yang menampilkan contoh data dari tabel berisi 500 database pelanggan yang terekspos. Carroll percaya celah yang ia temukan bersama Claude bisa mengakses informasi jutaan pelanggan, termasuk nama, email, dan alamat surat—tapi tidak data kartu kredit—serta data staf Front Gate.
Dengan akses ke data staf, Carroll langsung bisa mengambil alih akun staf. Ia mencari akun administrator super, memilih opsi mereset kata sandi, dan menemukan kode reset yang dikirim ke email administrator di dalam backend situs. Ia menggunakan kode itu untuk mengonfirmasi reset, memasang kata sandi baru, dan mengambil alih akun administrator.
Tak lama ia melihat tiket termahal untuk Bonnaroo yang bisa ditemukan dan menambahkannya sebagai tiket gratis ke troli belanja. “Sepertinya kamu bisa melakukan itu untuk setiap acara yang kamu mau,” kata Carroll. (Ia tidak benar-benar menyelesaikan pesanan atau membuat tiket karena takut melewati batas dan dituduh melakukan penipuan.
Carroll terkejut betapa mudahnya metode pengambilalihan itu: Tidak ada verifikasi dua langkah yang mencegah kata sandi bocor, dicuri, atau ditebak memberikan akses penuh. “Hanya ada satu perusahaan terpusat yang menerbitkan semua tiket untuk setiap festival,” kata Carroll. “Dan walau tanpa celah ini, jika kamu tahu kata sandi seseorang, kamu bisa masuk tanpa verifikasi dan membuat tiket gratis.”
Yang paling mengejutkan, kata Carroll, adalah Front Gate tampaknya tidak memeriksa sendiri situs mereka untuk celah kesalahan sederhana, baik dengan pemburu manusia maupun AI yang kini membuat proses mencari bug menjadi sangat mudah.
“Rasanya mengkhawatirkan kalau kamu pikir festival musik profesional ini dengan website profesionalnya berjalan dengan baik,” kata Carroll. “Lalu kamu mendapatkan akses, dan kamu sadar semuanya hanya sekuat lakban dan doa.”