Scalper telah menggunakan temuan peneliti keamanan untuk merekayasa balik tiket digital yang “tidak dapat dipindahtangankan” dari Ticketmaster dan AXS, sehingga memungkinkan transfer di luar aplikasi mereka. Penyelesaian tersebut terungkap dalam gugatan yang diajukan AXS pada bulan Mei terhadap broker pihak ketiga yang terlibat dalam praktik tersebut, menurut 404 Mediayang mana dulu dilaporkan berita.
Ceritanya dimulai pada bulan Februari ketika seorang peneliti keamanan anonim, menggunakan nama samaran Conduition, rincian teknis yang dipublikasikan tentang bagaimana Ticketmaster menghasilkan tiket elektroniknya. Jika Anda tidak terbiasa dengan cara kerja sistem e-tiket modern, Ticketmaster dan AXS mengunci penjualan kembali tiket dalam platform mereka, mencegah transfer pada layanan pihak ketiga seperti SeatGeek dan StubHub. (Untuk acara dengan prioritas lebih tinggi, mereka sering kali mengambil langkah lebih jauh dengan melarang transfer ke akun lain di platform yang sama.)
Meskipun perusahaan mengklaim praktik tersebut merupakan langkah pengamanan yang ketat, namun hal ini juga memungkinkan mereka mengontrol bagaimana dan kapan tiket mereka dijual kembali. (Yay, kapitalisme?)
Ticketmaster dan AXS membuat tiket “tidak dapat dipindahtangankan” menggunakan kode batang berputar yang berubah setiap beberapa detik, sehingga tangkapan layar atau cetakan tidak dapat berfungsi. Di bagian belakang, ia menggunakan teknologi dasar serupa yang mirip dengan aplikasi otentikasi dua faktor. Selain itu, kode hanya dibuat tepat sebelum acara dimulai, sehingga membatasi jendela untuk membagikannya di luar aplikasi. Tanpa intervensi dari pihak luar, platform dapat mengunci pembeli tiket ke dalam layanan penjualan kembali mereka sendiri, sehingga memberi mereka kendali vertikal atas keseluruhan ekosistem.
Di situlah peretas masuk. Dengan menggunakan temuan Conduition yang dipublikasikan, mereka mengekstrak token rahasia platform yang menghasilkan tiket baru, menggunakan ponsel Android dengan browser Chrome yang terhubung ke Chrome DevTools di PC desktop. Dengan menggunakan token, mereka menciptakan infrastruktur tiket paralel yang membuat ulang kode batang asli di platform lain, memungkinkan mereka menjual tiket yang berfungsi pada platform yang tidak diizinkan oleh Ticketmaster dan AXS. Laporan online mengklaim bahwa tiket paralel sering kali berfungsi di pintu masuk.
mengikuti 404 Media, gugatan AXS menuduh para tergugat menjual tiket “palsu” (walaupun biasanya berhasil) kepada “pelanggan yang tidak menaruh curiga”. Dokumen pengadilan diduga menggambarkan tiket paralel sebagai “dibuat, seluruhnya atau sebagian oleh satu atau lebih Tergugat yang mengakses secara ilegal dan kemudian meniru, meniru, atau menyalin tiket dari Platform AXS.”
Gugatan AXS mengklaim perusahaan tidak mengetahui bagaimana para peretas melakukannya. Janji untuk melakukan jailbreak pada Ticketmaster pada dasarnya sangat menguntungkan sehingga beberapa broker dilaporkan mencoba menyewa Conduition untuk membantu mereka membangun platform pembuatan tiket paralel mereka sendiri. Layanan yang telah beroperasi berdasarkan temuan peneliti menggunakan nama seperti Secure.Tickets, Amosa App, Virtual Barcode Distribution dan VERIFIED-Ticket.com.
404 Media‘S keseluruhan cerita layak dibaca. Mereka yang lebih berpikiran teknis mungkin tertarik dengan temuan awal Conduition, yang menggambarkan betapa hebatnya hal itu lakukan di bagian belakang mereka untuk menjaga seluruh ekosistem dalam genggamannya.
