Hackers descifran sistema de códigos de barras de Ticketmaster para permitir reventas en otras plataformas

Los revendedores han utilizado los hallazgos de un investigador de seguridad para ingeniería inversa de boletos digitales "no transferibles" de Ticketmaster y AXS, permitiendo transferencias fuera de sus aplicaciones. El método alternativo fue revelado en una demanda que AXS presentó en mayo contra corredores de terceros que adoptaron la práctica, según informó 404 Media, que fue el primero en informar la noticia.

La saga comenzó en febrero cuando un investigador de seguridad anónimo, conocido por el seudónimo Conduition, publicó detalles técnicos sobre cómo Ticketmaster genera sus boletos electrónicos. Para aquellos que no están familiarizados con cómo funcionan los sistemas modernos de boletos electrónicos, Ticketmaster y AXS bloquean las reventas de boletos dentro de sus plataformas, evitando transferencias a servicios de terceros como SeatGeek y StubHub. (Para eventos de alta prioridad, a menudo van un paso más allá al prohibir las transferencias a otras cuentas en la misma plataforma).

Aunque las compañías afirman que la práctica es estrictamente una medida de seguridad, también les permite controlar de manera conveniente cómo y cuándo se revenden sus boletos. (¡Yay, capitalismo?) Ticketmaster y AXS crean sus boletos "no transferibles" utilizando códigos de barras rotativos que cambian cada pocos segundos, evitando capturas de pantalla o impresiones que funcionen. En el backend, utilizan una tecnología subyacente similar a las aplicaciones de autenticación de dos factores. Además, los códigos solo se generan poco antes de que comience un evento, limitando la ventana para compartirlos fuera de las aplicaciones. Sin interferencia de partes externas, las plataformas logran encerrar a los compradores de boletos en sus propios servicios de reventa, dándoles un control vertical de todo el ecosistema.

Aquí es donde entran los hackers. Utilizando los hallazgos publicados por Conduition, extrajeron los tokens secretos de las plataformas que generan nuevos boletos, utilizando un teléfono Android con su navegador Chrome conectado a Chrome DevTools en una PC de escritorio. Con los tokens, crean una infraestructura de venta de boletos paralela que regenera códigos de barras genuinos en otras plataformas, lo que les permite vender boletos que funcionan en plataformas que Ticketmaster y AXS no permiten. Informes en línea afirman que los boletos paralelos a menudo funcionan en las puertas.

Según 404 Media, la demanda de AXS acusa a los acusados de vender boletos "falsificados" (aunque generalmente funcionan) a "clientes desprevenidos". Los documentos judiciales supuestamente describen los boletos paralelos como "creados, en su totalidad o en parte, por uno o más de los acusados accediendo ilícitamente y luego imitando, emulando o copiando boletos de la Plataforma de AXS".

La demanda de AXS afirma que la empresa no sabe cómo los hackers lo están haciendo. La promesa de prácticamente desbloquear Ticketmaster es tan lucrativa que varios corredores han intentado contratar a Conduition para ayudarles a construir sus propias plataformas de generación de boletos paralelos. Los servicios que ya operan con base en los hallazgos del investigador llevan nombres como Secure.Tickets, Amosa App, Virtual Barcode Distribution y Verified-Ticket.com.

La historia completa de 404 Media merece ser leída. Las personas más técnicamente inclinadas pueden interesarse en los hallazgos anteriores de Conduition, que ilustran lo que los gigantes de la venta de boletos están haciendo en sus bastidores para mantener todo el ecosistema bajo su control.