Betrüger haben sich die Erkenntnisse eines Sicherheitsforschers zunutze gemacht, um die “nicht übertragbaren” digitalen Tickets von Ticketmaster und AXS so umzudeuten, dass sie außerhalb ihrer Anwendungen weitergegeben werden können. Die Umgehung wurde durch eine Klage aufgedeckt, die AXS im Mai gegen Drittanbieter einreichte, die diese Praxis anwenden, so 404 Media, das zuerst über die Nachricht berichtete.
Die Geschichte begann im Februar, als ein anonymer Sicherheitsforscher unter dem Pseudonym Conduition technische Details darüber veröffentlichte, wie Ticketmaster seine elektronischen Tickets generiert. Falls Sie mit der Funktionsweise moderner E-Ticketing-Systeme noch nicht vertraut sind: Ticketmaster und AXS sperren den Ticketverkauf innerhalb ihrer Plattformen und verhindern so die Weiterleitung an Drittanbieter wie SeatGeek und StubHub. (Bei Veranstaltungen mit höherer Priorität gehen sie oft noch einen Schritt weiter und verbieten die Übertragung auf andere Konten auf derselben Plattform.)
Obwohl die Unternehmen behaupten, dies sei eine reine Sicherheitsmaßnahme, können sie auf diese Weise auch kontrollieren, wie und wann ihre Tickets weiterverkauft werden. (Juhu, Kapitalismus?)
Ticketmaster und AXS stellen ihre “nicht übertragbaren” Tickets mit rotierenden Barcodes her, die sich alle paar Sekunden ändern und so verhindern, dass Screenshots oder Ausdrucke funktionieren. Auf der Rückseite kommt eine Technologie zum Einsatz, die der Zwei-Faktor-Authentifizierung ähnelt. Zudem werden die Codes erst kurz vor Beginn der Veranstaltung generiert, was das Zeitfenster für die Weitergabe außerhalb der Apps einschränkt. Ohne Einmischung von außen können die Plattformen die Ticketkäufer an ihre eigenen Wiederverkaufsdienste binden, was ihnen eine vertikale Kontrolle über das gesamte Ökosystem ermöglicht.
Hier kommen die Hacker ins Spiel. Basierend auf den von Conduition veröffentlichten Ergebnissen extrahierten sie die geheimen Token der Plattformen, die neue Tickets generieren, indem sie ein Android-Telefon mit seinem Chrome-Browser mit den Chrome DevTools auf einem Desktop-PC verbanden. Mithilfe der Token schufen sie eine parallele Ticketing-Infrastruktur, die echte Barcodes auf anderen Plattformen generiert und es ihnen ermöglicht, funktionierende Tickets auf Plattformen zu verkaufen, die Ticketmaster und AXS nicht akzeptieren. Online-Berichten zufolge funktionieren die parallelen Tickets häufig an den Gates.
Laut 404 Media werden die Beklagten in der Klage von AXS beschuldigt, “gefälschte” Tickets (auch wenn diese normalerweise funktionieren) an “ahnungslose Kunden” zu verkaufen. In den Gerichtsdokumenten wird behauptet, dass die Paralleltickets “ganz oder teilweise von einem oder mehreren der Beklagten erstellt wurden, die sich unbefugt Zugang zur AXS-Plattform verschafft und diese dann imitiert, emuliert oder kopiert haben”.
In der Klage von AXS wird behauptet, dass das Unternehmen nicht wisse, wie die Hacker vorgingen. Das Versprechen, Ticketmaster zu knacken, ist so lukrativ, dass Berichten zufolge mehrere Vermittler versucht haben, Conduition zu beauftragen, ihnen beim Aufbau ihrer eigenen parallelen Ticketgenerierungsplattformen zu helfen. Dienste, die bereits auf den Erkenntnissen der Forscher basieren, tragen Namen wie Secure.Tickets, Amosa App, Virtual Barcode Distribution und Verified-Ticket.com.
Der gesamte Bericht von 404 Media ist sehr lesenswert. Technisch Interessierte könnten sich für die früheren Ergebnisse von Conduition interessieren, die zeigen, was die Ticketgiganten hinter den Kulissen tun, um das gesamte Ökosystem in ihren Klauen zu halten.
