Os cambistas usaram as descobertas de um pesquisador de segurança para fazer engenharia reversa de ingressos digitais “intransferíveis” da Ticketmaster e AXS, permitindo transferências fora de seus aplicativos. A solução alternativa foi revelada em uma ação judicial movida pela AXS em maio contra corretores terceirizados que adotaram a prática, de acordo com 404 Mídiaqual primeiro relatado as notícias.
A saga começou em fevereiro quando um pesquisador de segurança anônimo conhecido pelo pseudônimo Conduition detalhes técnicos publicados sobre como a Ticketmaster gera seus bilhetes eletrônicos. Se você ainda não está familiarizado com o funcionamento dos sistemas modernos de emissão de bilhetes eletrônicos, a Ticketmaster e a AXS bloqueiam as revendas de ingressos dentro de suas plataformas, evitando transferências em serviços de terceiros, como SeatGeek e Stub Hub. (Para eventos de maior prioridade, muitas vezes vão um passo além, proibindo transferências para outras contas na mesma plataforma.)
Embora as empresas afirmem que a prática é estritamente uma medida de segurança, também lhes permite controlar convenientemente como e quando os seus bilhetes são revendidos. (Sim, capitalismo?)
Ticketmaster e AXS criam seus tickets “intransferíveis” usando códigos de barras rotativos que mudam a cada poucos segundos, evitando capturas de tela ou impressões funcionais. No back-end, ele usa tecnologia subjacente semelhante a aplicativos de autenticação de dois fatores. Além disso, os códigos só são gerados pouco antes do início de um evento, limitando a janela para compartilhamento fora dos apps. Sem interferência de terceiros, as plataformas conseguem prender os compradores de bilhetes aos seus próprios serviços de revenda, dando-lhes o controlo vertical de todo o ecossistema.
É aí que entram os hackers. Usando as descobertas publicadas pela Conduition, eles extraíram os tokens secretos das plataformas que geram novos tickets, usando um telefone Android com seu navegador Chrome conectado ao Chrome DevTools em um PC desktop. Usando os tokens, eles criam uma infraestrutura de emissão de bilhetes paralela que regenera códigos de barras genuínos em outras plataformas, permitindo-lhes vender bilhetes funcionais em plataformas que a Ticketmaster e a AXS não permitem. Relatórios online afirmam que os tickets paralelos geralmente funcionam nos portões.
De acordo com 404 MídiaO processo da AXS acusa os réus de vender ingressos “falsificados” (mesmo que normalmente funcionem) para “clientes desavisados”. Os documentos judiciais supostamente descrevem os tickets paralelos como “criados, no todo ou em parte, por um ou mais dos Réus acessando ilicitamente e depois imitando, emulando ou copiando tickets da Plataforma AXS”.
O processo da AXS afirma que a empresa não sabe como os hackers estão fazendo isso. A promessa de essencialmente desbloquear a Ticketmaster é tão lucrativa que vários corretores tentaram contratar a Conduition para ajudá-los a construir suas próprias plataformas paralelas de geração de tickets. Os serviços que já operam com base nas descobertas do pesquisador são conhecidos por nomes como Secure.Tickets, Amosa App, Virtual Barcode Distribution e Verified-Ticket.com.
404 Mídiade vale a pena ler a história inteira. Pessoas com mentalidade mais técnica podem se interessar pelas descobertas anteriores da Conduition, que ilustram o que são os gigantes da bilheteria fazendo em seus back-ends para manter todos os ecossistemas em suas garras.
