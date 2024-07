Ticketmaster e AXS avevano creato un ingegnoso sistema per impedire la rivendita dei biglietti dei concerti. Un hacker è riuscito ad aggirarlo, per la gioia dei bagarini - che sono tornati a fare affari d'oro.

Dopotutto, i biglietti “impossibili da trasferire” di Ticketmaster non erano così, beh, impossibili da trasferire. Per la gioia dei bagarini. Degli hacker hanno scoperto come generare i codici a barre dei biglietti, in modo da contraffarli e poterli rivendere su piattaforme terze.

Nel mirino, non soltanto Ticketmaster ma anche la piattaforma AXS. Ed è proprio una causa intentata da quest’ultima società ad un sito dedicato al mercato secondario dei biglietti ad aver reso di dominio pubblico questa notizia.

Il complesso sistema anti-bagarini

La vicenda ha avuto inizio a febbraio, quando un ricercatore di sicurezza anonimo, noto con lo pseudonimo Conduition, ha pubblicato dettagli tecnici su come Ticketmaster genera i suoi biglietti elettronici. Ticketmaster e AXS bloccano la rivendita dei biglietti all’interno delle loro piattaforme, impedendo trasferimenti su servizi di terze parti come SeatGeek e StubHub. Per alcuni spettacoli, i due siti talvolta impediscono il trasferimento dei biglietti addirittura tra due account diversi della stessa piattaforma.

Il sistema di sicurezza di Ticketmaster è piuttosto complesso. Ticketmaster e AXS creano i loro biglietti “non trasferibili” utilizzando codici a barre temporanei: hanno una scadenza di pochi secondi, cosa che rende l’invio di screenshot pressoché inutile. I codici vengono generati solamente poco prima dell’inizio dell’evento, limitando il tempo utile per poterli condividere e rivendere al di fuori delle rispettive app ufficiali.

Così un hacker ha svelato i segreti di Ticketmaster

Utilizzando le scoperte pubblicate da Conduition, – spiega il sito Engadget – gli hacker sono in grado di estrarre i token segreti delle piattaforme che generano nuovi biglietti. E’ sufficiente utilizzare un telefono Android con il browser Chrome collegato a Chrome DevTools su un PC desktop. Con questi token, creano un’infrastruttura in grado di operare come una vera e propria biglietteria parallela, che rigenera codici a barre genuini su altre piattaforme, consentendo così di vendere biglietti funzionanti su piattaforme non autorizzate da Ticketmaster e AXS.

A quanto pare, i biglietti così generati funzionano praticamente sempre anche ai cancelli degli eventi, consentendo l’accesso a chi ha acquistato il biglietto “illecitamente”.

Il caso finirà in tribunale

AXS ha citato in giudizio diverse piattaforme di reselling, accusate di vendere “biglietti contraffatti” a clienti “ignari” della natura illecita degli stessi. Contraffatti forse non è la parola più corretta, considerando che, come abbiamo già scritto, questi biglietti sono quasi sempre perfettamente funzionanti. Insomma, il danno è tutto per la piattaforma e per i promotori degli eventi contrari al bagarinaggio, ma non per il cliente finale che effettivamente ottiene ciò che ha pagato a carissimo prezzo.

I documenti presentati dagli avvocati di AXS descrivono i biglietti come “generati, in tutto o in parte, accedendo illegalmente e poi imitando, emulando o copiando i biglietti della piattaforma AXS”.

Diversi siti attivi nel mercato nero della rivendita di biglietti – scrive 404 Media – avrebbero tentato di accedere ai segreti di Ticketmaster e AXS proponendo a Conduition lauti compensi. Nel frattempo sono spuntati come funghi numerosi portali specializzati nella rivendita dei biglietti contraffatti realizzati grazie alle scoperte dell’hacker. Tra questi, troviamo Secure.Tickets, Amosa App, Virtual Barcode Distribution e Verified-Ticket.com.

