V nedávném odhalení, které znepokojilo digitální ticketingovou komunitu, hackeři využili slabiny v systému čárových kódů Ticketmaster a AXS, aby umožnili prodej vstupenek mimo jejich platformy. Tato metoda, založená na zjištěních anonymního bezpečnostního výzkumníka známého jako Conduition, byla nedávno popsána v žalobě podané AXS proti třetím stranám, které tuto praxi přijaly.

Jak to všechno začalo

Příběh začal v únoru, kdy Conduition zveřejnil technické detaily o generování elektronických vstupenek Ticketmaster. Moderní systémy elektronických vstupenek, jako jsou ty od Ticketmaster a AXS, uzamykají prodej vstupenek na svých platformách, čímž zamezují převodům na služby třetích stran, jako jsou SeatGeek a StubHub. U prioritních událostí je často zakázán i převod na jiné účty na stejné platformě, což má údajně zvýšit bezpečnost.

Zdroj: Shutterstock

Ticketmaster a AXS používají rotující čárové kódy, které se mění každých několik sekund, což znemožňuje použití snímků obrazovky nebo výtisků vstupenek. Tyto kódy jsou generovány krátce před začátkem události, čímž se omezuje možnost jejich sdílení mimo aplikace. Bezpečnostní opatření, podobná dvoufaktorovému ověřování, měla zajistit, že vstupenky budou použity pouze tak, jak bylo zamýšleno.

Průlom hackerů

Hackeři, inspirovaní zveřejněnými zjištěními Conduition, dokázali extrahovat tajné tokeny platforem prostřednictvím chytrého telefonu Android připojeného k Chrome DevTools na stolním počítači. S těmito tokeny vytvořili paralelní infrastrukturu pro prodej vstupenek, která generuje nové čárové kódy pro jiné platformy. Tyto kódy umožňují prodej funkčních vstupenek mimo kontrolu Ticketmaster a AXS.

AXS v žalobě viní obžalované z prodeje „padělaných“ vstupenek, i když tyto vstupenky často fungují. Dokumenty soudu popisují paralelní vstupenky jako „vytvořené, zcela nebo zčásti jedním nebo více obžalovanými, kteří nezákonně přistupují a napodobují vstupenky z platformy AXS“.

Budoucnost prodeje vstupenek

Společnosti jako Secure.Tickets, Amosa App, Virtual Barcode Distribution a Verified-Ticket.com již fungují na základě těchto výzkumných zjištění. To představuje významnou výzvu pro Ticketmaster a AXS, které nyní musí hledat nové způsoby, jak ochránit své systémy před takovými průniky.

Celý příběh odhaluje, jak mohou technická zjištění narušit zavedené ekosystémy a jak se společnosti musí přizpůsobit novým bezpečnostním hrozbám. Detaily celého případu jsou dostupné na stránkách 404 Media, kde jsou podrobněji popsány kroky a metody použité hackery.