Ticketmaster utilizza la tecnologia SafeTix per generare un nuovo codice a barre (o codice QR) ogni 15 secondi. Ciò dovrebbe impedire la vendita dei biglietti sulle piattaforme di secondary ticketing. In realtà, il sistema anti-frode è stato già aggirato da alcuni cybercriminali tramite reverse engineering, come conferma una denuncia presentata da AXS (che usa una tecnologia simile).
Infrastruttura parallela per generare codici a barre
Il sito di Ticketmaster viene spesso “bombardato” da milioni di accessi effettuati da sistemi automatizzati (bot) che acquistano un numero enorme di biglietti, successivamente venduti sulle piattaforme di secondary ticketing. Per impedire questo tipo di attività è stata introdotta la tecnologia SafeTix. Molti biglietti sono distribuiti solo tramite app, in quanto il codice a barre viene cambiato ogni 15 secondi.
Un ricercatore ha effettuato il reverse engineering dell’app Android, scoprendo come viene generato il codice. Secondo 404 Media, diversi “ticket broker” hanno utilizzato le informazioni pubblicate dal ricercatore per creare un’infrastruttura parallela in grado di generare codici. Molti utenti hanno confermato la validità dei biglietti acquistati su note piattaforme, come StubHub, SeatGeek e VividSeats.
In pratica sono stati creati cloni della tecnologia SafeTix che consente il trasferimento e la vendita dei biglietti. Il ricercatore che ha pubblicato i dettagli sul funzionamento è stato contattato da vari broker per un’eventuale lavoro. Doveva sviluppare un servizio per la generazione dei codici a barre.
La descrizione della tecnologia è stata pubblicata all’inizio di febbraio. Ticketmaster non ha ancora corretto la “vulnerabilità”. Il token dal quale viene generato il codice a barre ha una validità di 20 ore. Tramite app di terze parti è quindi possibile ottenere un biglietto che consente l’accesso all’evento.