I truffatori hanno approfittato delle scoperte di un ricercatore di sicurezza per reinterpretare i biglietti digitali "non trasferibili" di Ticketmaster e AXS in modo da poterli condividere al di fuori delle loro applicazioni. Secondo 404 Media, che ha riportato per primo la notizia, l'elusione è stata scoperta da una causa intentata da AXS a maggio contro i venditori terzi che utilizzano questa pratica.
La storia è iniziata a febbraio, quando un ricercatore di sicurezza anonimo, sotto lo pseudonimo di Conduition, ha pubblicato dettagli tecnici su come Ticketmaster genera i suoi biglietti elettronici. Nel caso in cui non abbiate ancora familiarità con il funzionamento dei moderni sistemi di biglietteria elettronica: Ticketmaster e AXS bloccano la vendita dei biglietti all'interno delle loro piattaforme, impedendo che vengano inoltrati a fornitori terzi come SeatGeek e StubHub. (Per gli eventi a priorità più alta, spesso si spingono oltre e vietano il trasferimento ad altri account sulla stessa piattaforma).
Sebbene le compagnie sostengano che si tratti di una misura di sicurezza, ciò consente loro di controllare come e quando i loro biglietti vengono rivenduti. (Evviva il capitalismo?)
Ticketmaster e AXS producono i loro biglietti "non trasferibili" con codici a barre rotanti che cambiano ogni pochi secondi, impedendo il funzionamento di screenshot o stampe. Sul retro viene utilizzata una tecnologia simile all'autenticazione a due fattori. Inoltre, i codici vengono generati solo poco prima dell'inizio dell'evento, il che limita la finestra temporale per la condivisione al di fuori delle app. Senza interferenze esterne, le piattaforme possono legare gli acquirenti di biglietti ai propri servizi di rivendita, dando loro un controllo verticale sull'intero ecosistema.
È qui che entrano in gioco gli hacker. Sulla base dei risultati pubblicati da Conduition, hanno estratto i token segreti delle piattaforme che generano nuovi biglietti collegando un telefono Android con il suo browser Chrome a Chrome DevTools su un PC desktop. Utilizzando i token, hanno creato un'infrastruttura di biglietteria parallela che genera codici a barre reali su altre piattaforme, consentendo loro di vendere biglietti funzionanti su piattaforme che non accettano Ticketmaster e AXS. Secondo quanto riportato online, i biglietti paralleli funzionano spesso ai cancelli.
Secondo 404 Media, la causa di AXS accusa gli imputati di aver venduto biglietti "contraffatti" (anche se normalmente funzionanti) a "clienti ignari". I documenti del tribunale sostengono che i biglietti paralleli sono stati "creati in tutto o in parte da uno o più degli imputati che hanno ottenuto un accesso non autorizzato alla piattaforma AXS e l'hanno poi imitata, emulata o copiata".
L'azione legale di AXS sostiene che la società non era a conoscenza di come gli hacker stessero procedendo. La promessa di craccare Ticketmaster è talmente redditizia che, secondo quanto riferito, diversi intermediari hanno cercato di assumere Conduition per farsi aiutare a costruire le proprie piattaforme parallele di generazione di biglietti. I servizi già basati sulle scoperte dei ricercatori hanno nomi come Secure.Tickets, Amosa App, Virtual Barcode Distribution e Verified-Ticket.com.
Vale la pena di leggere il rapporto completo di 404 Media. Chi ha una mentalità tecnica può essere interessato alle precedenti scoperte di Conduition, che mostrano ciò che i giganti del ticketing stanno facendo dietro le quinte per mantenere l'intero ecosistema nelle loro grinfie.
