Os hackers usaram as descobertas do pesquisador de segurança para criar duplicatas de ingressos digitais “intransferíveis” para shows e outros eventos vendidos através da Ticketmaster e AXS, permitindo que fossem revendidos fora desses serviços. A solução alternativa foi revelada em uma ação movida pela AXS contra corretores de ingressos terceirizados que utilizam a prática, de acordo com a 404 Media, que primeiro relatou o assunto.
Fonte da imagem: Ticketmaster
Em maio deste ano, a AXS entrou com uma ação judicial contra corretores de passagens terceirizados que utilizam um novo método para contornar a proteção de bilhetes eletrônicos “intransferíveis”. É relatado que os hackers conseguiram usar engenharia reversa para recriar uma cópia do sistema de geração de códigos de barras e códigos QR originais para ingressos Ticketmaster e AXS e revendê-los.
A história começou em fevereiro, quando um pesquisador de segurança sob o pseudônimo Conduition publicou detalhes técnicos sobre como a Ticketmaster e a AXS geram seus tickets. As informações chegaram aos hackers e permitiram que extraíssem dados secretos usados para gerar novos tickets.
Os hackers criaram uma infraestrutura paralela usando um smartphone Android com o navegador Chrome conectado ao Chrome DevTools em um PC desktop. O sistema começou então a gerar bilhetes com códigos de barras genuínos, que depois foram vendidos em outras plataformas não aprovadas pelos operadores oficiais de bilhetes.
Fonte da imagem: Ticketmaster
AXS processou. No seu processo, a empresa acusa outros vendedores de venderem bilhetes “falsificados” a clientes inocentes, embora os bilhetes funcionem e sejam essencialmente genuínos. A empresa diz que não sabe exatamente como os hackers conseguem esse desvio.
Os próprios Ticketmaster e AXS criam tickets originais usando códigos de barras gerados que mudam a cada poucos segundos, evitando capturas de tela ou impressões. Além disso, os códigos só são gerados pouco antes do evento, limitando a capacidade de transferi-los fora dos serviços.
A vulnerabilidade do sistema Ticketmaster era tão lucrativa que vários corretores de ingressos até tentaram contratar a Conduition para criar suas próprias plataformas de geração de ingressos duplicados. Já existem serviços ativos baseados na pesquisa da Conduition, como Secure.Tickets, Amosa App, Virtual Barcode Distribution e Verified-Ticket.com.