Bilgisayar korsanları, Ticketmaster’ın barkod sistemini tersine mühendislikle kullanarak diğer platformlardaki yeniden satışların kilidini açtı
Karaborsacılar, Ticketmaster ve AXS’den “devredilemez” dijital biletlerin tersine mühendisliğini yapmak için bir güvenlik araştırmacısının bulgularını kullandılar ve uygulamalarının dışında transferlere izin verdiler. Geçici çözüm, AXS’nin bu uygulamayı benimseyen üçüncü taraf brokerlara karşı Mayıs ayında açtığı bir davada ortaya çıktı. 404 MedyaHaberi ilk duyuran gazete ise .
Hikaye, Şubat ayında Conduition takma adını kullanan anonim bir güvenlik araştırmacısının Ticketmaster’ın elektronik biletlerini nasıl ürettiğine dair teknik detayları yayınlamasıyla başladı. Modern e-bilet sistemlerinin nasıl çalıştığına henüz aşina değilseniz, Ticketmaster ve AXS, platformları içinde bilet yeniden satışlarını kilitleyerek SeatGeek ve StubHub gibi üçüncü taraf hizmetlere yapılan transferleri engelliyor. (Daha yüksek öncelikli etkinlikler için, genellikle aynı platformdaki diğer hesaplara yapılan transferleri yasaklayarak bir adım daha ileri gidiyorlar.)
Şirketler bu uygulamanın tamamen bir güvenlik önlemi olduğunu iddia etseler de, aynı zamanda biletlerin nasıl ve ne zaman yeniden satılacağını kontrol etmelerine de olanak sağlıyor. (Yaşasın kapitalizm?)
Ticketmaster ve AXS, her birkaç saniyede bir değişen dönen barkodlar kullanarak “devredilemez” biletlerini oluşturur ve bu da çalışan ekran görüntüleri veya çıktıları engeller. Arka uçta, iki faktörlü kimlik doğrulama uygulamalarına benzer benzer bir temel teknoloji kullanır. Ayrıca, kodlar yalnızca bir etkinlik başlamadan hemen önce oluşturulur ve bu da bunları uygulamaların dışında paylaşma penceresini sınırlar. Platformlar, dış tarafların müdahalesi olmadan, bilet alıcılarını kendi yeniden satış hizmetlerine kilitleyerek onlara tüm ekosistemin dikey kontrolünü verir.
İşte hacker’ların devreye girdiği yer burası. Conduition’ın yayımlanmış bulgularını kullanarak, masaüstü bilgisayardaki Chrome DevTools’a bağlı Chrome tarayıcısı olan bir Android telefon kullanarak yeni biletler üreten platformların gizli token’larını çıkardılar. Token’ları kullanarak, diğer platformlarda gerçek barkodları yeniden üreten paralel bir bilet altyapısı oluşturdular ve Ticketmaster ve AXS’nin izin vermediği platformlarda çalışan biletler satmalarına olanak sağladılar. Çevrimiçi raporlar, paralel biletlerin genellikle kapılarda çalıştığını iddia ediyor.
Buna göre 404 MedyaAXS’nin davası, davalıları “sahte” biletler satmakla (genellikle işe yarasalar bile) suçluyor ve “şüphesiz müşterilere” satıyor. Mahkeme belgelerinde, paralel biletlerin “bir veya daha fazla Davalının AXS Platformundan biletlere yasadışı bir şekilde erişip daha sonra bunları taklit etmesi, öykünmesi veya kopyalaması sonucu tamamen veya kısmen oluşturulduğu” iddia ediliyor.
AXS’in davası, şirketin bilgisayar korsanlarının bunu nasıl yaptığını bilmediğini iddia ediyor. Ticketmaster’ı esasen jailbreak etme vaadi o kadar kazançlı ki, birkaç aracının kendi paralel bilet oluşturma platformlarını oluşturmalarına yardımcı olması için Conduition’ı işe almaya çalıştığı bildiriliyor. Araştırmacının bulgularıyla halihazırda faaliyet gösteren hizmetler Secure.Tickets, Amosa App, Virtual Barcode Distribution ve Verified-Ticket.com gibi isimlerle anılıyor.
404 Medya‘nin tüm hikayesi okunmaya değer. Daha teknik düşünen kişiler, bilet devlerinin tüm ekosistemleri pençelerinde tutmak için arka uçlarında neler yaptıklarını gösteren Conduition’ın önceki bulgularına ilgi duyabilirler.
Kaynak: https://www.engadget.com/hackers-reverse-engineer-ticketmasters-barcode-system-to-unlock-resales-on-other-platforms-194826061.html?src=rss