Ticketmaster, la compagnia leader nel settore della vendita di biglietti per eventi, è rimasta vittima degli hacker. Secondo quanto riportato da 404Media, i bagarini sono riusciti a decodificare i biglietti digitali “non trasferibili” di Ticketmaster e AXS, così da poterli rivendere comodamente su piattaforme di terze parti Tutto è cominciato a febbraio, quando un ricercatore di sicurezza conosciuto con lo pseudonimo di Conduition ha condiviso in rete i dettagli tecnici su come la società genera i suoi biglietti elettronici per i concerti più importanti, acquistabili dagli utenti esclusivamente all’interno delle piattaforme. Una pratica che Ticketmaster e AXS adottano in tutto il mondo per evitare che i bagarini guadagnino dalla rivendita dei biglietti su siti esterni come Seatgeek, oltre che per controllare come e quando i biglietti vengono venduti.
Ticketmaster e AXS generano i loro biglietti “non trasferibili” utilizzando codici a barre che cambiano ogni pochi secondi, così da impedire di effettuare screenshot o stampe condivisibili al di fuori dei loro sistemi. Inoltre, i codici vengono generati solo poco prima dell’inizio di un evento, limitando così la possibilità di condividerli al di fuori delle app e bloccando gli utenti nel sistema di rivendita delle piattaforme. Ma gli hacker sembrano aver trovato un modo per aggirare questo sistema. Sfruttando i dettagli forniti dal ricercatore di sicurezza, sono riusciti a estrarre i token segreti utilizzati dalle piattaforme per generare i biglietti e a sfruttarli per creare un sistema parallelo che genera ticket che possono essere venduti anche su altre piattaforme non autorizzate. Questi biglietti funzionano praticamente sempre ai cancelli degli eventi, consentendo l’accesso a chi li ha acquistati illecitamente.
Il sistema, secondo quanto riportato da 404Media, è stato denunciato da AXS, che ha accusato gli hacker di vendere biglietti “contraffatti” – anche se funzionanti – a “clienti ignari”. Le rivelazioni di Conduition potrebbero aver innescato un meccanismo pericoloso per Ticketmaster e AXS, fornendo ai malintenzionati la “chiave” giusta per forzare un sistema considerato inviolabile fino a ora.
