10/07/24
Концертный гигант AXS подал иск в Калифорнии, который раскрывает юридическое и технологическое противостояние между спекулянтами билетами и платформами, такими как Ticketmaster и AXS. Спекулянты нашли способ обходить ограничения «непередаваемых» билетов (Untransferable Tickets), генерируя на собственной инфраструктуре специальные штрих-коды, которые затем можно беспрепятственно продавать клиентам по сниженным ценам.
Добиться желаемого злоумышленникам удалось при помощи ревёрс-разработки, благодаря которому технологию электронных билетов Ticketmaster и AXS удалось успешно воссоздать и беспрепятственно эксплуатировать.
В иске AXS утверждается, что брокеры-мошенники поставляют «поддельные» билеты «ничего не подозревающим потребителям», копируя их с платформы AXS. На практике же эти билеты в большинстве случаев успешно сканируются на входе на мероприятие. В связи с чем, фактически, нельзя сказать, что подобные лжеброкеры обманывают своих покупателей. Обещанная услуга, по итогу, всё же оказывается.
Два исследователя безопасности, с которыми удалось связаться журналистам, показали, как спекулянты могут генерировать подлинные билеты для концертов. Эти системы работают как для Ticketmaster, так и для AXS, которые используют технологию «вращающихся штрих-кодов» (Rotating Barcodes), меняющихся каждые несколько секунд.
Более того, несколько онлайн-сервисов уже внедрили данную мошенническую технологию, позволяя генерировать подлинные билеты на своих сайтах или в приложениях и распространять ссылки на эти билеты через вторичные рыночные платформы, такие как StubHub, SeatGeek и VividSeats.
О таких предприятиях, как Secure.Tickets, Amosa App и Verified-Ticket.com, почти нет информации в интернете. Они часто скрываются под видом сломанных сайтов, а доступ к ним предоставляется через сарафанное радио среди брокеров. Тем не менее, именно эти сервисы позволяют легко передавать билеты покупателям без необходимости встречи перед концертом, входа во временные аккаунты и обмена паролями. Это облегчает жизнь как брокерам, так и фанатам.
Тем временем, Ticketmaster и AXS усиливают контроль над перепродажей билетов на вторичном рынке, ограничивая передачу билетов для популярных мероприятий, часто покупаемых спекулянтами. Это направлено на монополизацию не только первичного, но и вторичного рынков продажи билетов.
Возможность создавать билеты из метаданных Ticketmaster особенно заметна после того, как хакеры опубликовали тысячи штрих-кодов для предстоящего турне Тейлор Свифт. А затем ещё десятки тысяч билетов на концерты других исполнителей. Компания Ticketmaster утверждает, что её технология SafeTix «обеспечивает безопасность билетов», однако исследования показывают, что система не так надёжна, как о ней говорят.
Исследователи уверены, что атаки для воспроизведения этих билетов не требуют высокой технологической сложности и доступны для любого финансово мотивированного лица. В то же время, Ticketmaster и AXS предпочитают бороться с мошенниками юридически, а не совершенствовать технологию, делая её более безопасной.
Таким образом, в погоне за наживой и беспрецедентным контролем над рынком билетов гиганты индустрии невольно породили подпольную экосистему цифровых умельцев.
