Hackers omzeilen beveiliging op tickets van Ticketmaster
Ga je deze zomer naar een festival of een ander optreden? Dan is de kans groot dat je een ticket koopt via Ticketmaster. Die tickets zijn flink beveiligd tegen zogenoemde ‘scalpers’: personen die tickets opkopen met het enige doel om ze daarna weer verder te verkopen aan hogere prijzen. Hackers hebben nu een manier gevonden om die beveiliging te omzeilen, schrijft 404Media.
Grappig genoeg baseren de onderzoekers zich daarvoor op het werk van een beveiligingsonderzoeker. In februari spitte een anonieme onderzoeker uit hoe het systeem achter die tickets precies werkt. De laatste jaren werden de digitale tickets steeds beter beveiligd, vooral om ervoor te zorgen dat ze niet doorverkocht konden worden via externe platformen. Door de beveiliging kan je de tickets enkel nog doorverkopen via goedgekeurde platformen, zoals TicketSwap.
Beveiligde tickets
Die beveiliging maakt gebruik van roterende barcodes: elke paar seconden verschijnt er een nieuwe barcode onder het digitale ticket. Trek je een screenshot of print je de tickets af om die te verkopen buiten de goedgekeurde kanalen? Dan verandert de barcode niet meer, waardoor het ticket al na enkele seconden ongeldig is. Voor een bedrijf als Ticketmaster is dat ideaal: zij verdienen niet enkel aan de initiële ticketverkoop, maar pikken ook een graantje mee als je het ticket nadien verkoopt. Met andere woorden: het ticketbedrijf behoudt de controle over de volledige ticketverkoop.
Met hun werk maken de hackers een einde aan die controle. Onderliggend gebruikt Ticketmaster een bijzonder systeem om codes te genereren. Dat systeem werkt op basis van tokens, zoals dat ook voor multifactorauthenticatie gaat. De hackers zijn erin geslaagd om die tokens uit te lezen. Met die tokens hebben ze daarna een parallel ticketingsysteem op poten kunnen zetten dat werkende tickets genereert. Die tickets kunnen ze nadien ook doorverkopen op andere, niet-toegestane platformen. Bovendien werken de tickets: als je ze laat scannen aan de inkom, geraak je meestal zonder problemen binnen.
Dit vreet natuurlijk aan de inkomsten van ticketingbedrijven zoals Ticketmaster en het Amerikaanse AXS. Die laatste klaagde de hackers inmiddels aan voor de verkoop van namaaktickets aan “nietsvermoedende klanten”.
Duurder doorverkocht
Als concertganger zal je daar geen voordeel mee doen: de ‘nagemaakte’ tickets worden vaak duurder verkocht dan eerst het geval was. Je kan het oneens zijn met de overmacht van Ticketmaster op de ticketmarkt, maar het feit is dat die diensten kopers wel beschermen tegen exorbitante prijzen. Dat moet ook: in België is het verboden om winst te maken op een ticket dat je doorverkoopt. Een ticket van 20 euro kan je daardoor aan maximaal 21 euro te koop zetten via Ticketmaster. Die ene euro is de prijs die Ticketmaster vraagt voor zijn diensten: 5% van de aankoopprijs van het ticket.
