Alcuni bagarini hanno sfruttato quanto scoperto da un ricercatore specializzato in sicurezza per decodificare i biglietti non trasferibili di Ticketmaster e AXS, quelli che, sulla carta, dovrebbero togliere di mezzo i bagarini e garantire che i tagliandi di concerti e eventi sportivi non aumentino di prezzo.
Il meccanismo di reverse-engineer sfruttato dagli hacker è stato rivelato nell’ambito di una causa legale che AXS ha intentato contro broker di terze parti che hanno adottato quanto scoperto dall’hacker e messo in piedi piattaforme per la vendita di biglietti che, in teoria, non potrebbero vendere.
Lo riferisce il sito 404 Media spiegando che la vicenda risale a febbraio, quando un non meglio precisato ricercatore specializzato in sicurezza conosciuto con lo pseudonimo Conduition, ha reso pubblici dettagli tecnici sulla generazione dei biglietti elettronici di Ticketmaster; questa società, lo ricordiamo, opera in varie parti del mondo, ed è specializzata nella vendita e distribuzione di biglietti per eventi, offrendo in molti casi anche degli e-ticket mediante un sistema di biglietteria digitale.
In molti casi non è possibile rivendere i biglietti (emettendo biglietti con il nominativo aggiornato), e – quando disponibile – l’eventuale rivendita può essere richiesta (con un costo) solo dall’intestatario dell’ordine.
Le rivendite sono tipicamente bloccate, impedendo a servizi di terze parti quali SeatGeek e StubHub, il trasferimento a terzi.
Società come Ticketmaster e AXS, affermano di impedire il trasferimento su servizi di terze parti per ragioni di sicurezza ma è anche vero che questo consente loro di controllare come e quando i biglietti vengono rivenduti (e guadagnare anche sulla rivendita a terzi).
Ticketmaster e AXS hanno ideato un sistema di biglietti elettronici, sfruttando dei codici a barre che cambiano ogni pochi secondi, rendendo inutile catturare schermate e stampe; un sistema di backend, sfrutta tecnologie simili all’autenticazione a due fattori per generare codici validi poco prima dell’evento, limitando la possibilità di condivisione all’infuori dell’app ufficiale, e obbligando gli acquirenti di biglietti a sfruttare il servizio ufficiale, con un controllo verticale sull’intero ecosistema.
Sfruttando quanto reso noto dall’hacker Conduition, è stato possibile individuare le modalità usate per generare token segreti associati a nuovi biglietti, e mettere in piedi una infrastruttura parallela di ticketing che permette a terze parti di creare codici a barre e biglietti validi, vendibili da terze parti.
AXS accusa le società chiamate in causa di vendere biglietti “contraffatti” a ignari clienti. Nei documenti presentati in tribunale si spiega che il sistema di ticketing parallelo accede in modo illecito alla biglietteria online originale, imitando, emulando e copiando biglietti dalla piattaforma reale.
Nella denuncia di AXS, quest’ultima afferma di non sapere in che modo gli hacker siano riusciti a portare a termine il lavoro di ingegneria inversa che ha reso possibile bypassare la loro piattaforma ma a quanto pare Conduition ha ricevuto numerose offerte da parte di rivenditori di biglietti, tutti desiderosi di offrire e-ticket su piattaforma alternative.
Per tutte le notizie sulla sicurezza informatica rimandiamo alla sezione dedicata di macitynet.
