Infomalangraya.com –
Para calo telah menggunakan temuan peneliti keamanan untuk merekayasa ulang tiket digital “yang tidak dapat dipindahtangankan” dari Ticketmaster dan AXS, yang memungkinkan transfer di luar aplikasi mereka. Solusi ini terungkap dalam gugatan hukum yang diajukan AXS pada bulan Mei terhadap broker pihak ketiga yang mengadopsi praktik tersebut, menurut 404 Mediayang pertama kali melaporkan berita tersebut.
Kisah ini bermula pada bulan Februari ketika seorang peneliti keamanan anonim, yang menggunakan nama samaran Conduition, menerbitkan rincian teknis tentang cara Ticketmaster membuat tiket elektroniknya. Jika Anda belum familier dengan cara kerja sistem e-tiket modern, Ticketmaster dan AXS mengunci penjualan kembali tiket di dalam platform mereka, mencegah transfer pada layanan pihak ketiga seperti SeatGeek dan StubHub. (Untuk acara dengan prioritas lebih tinggi, mereka sering mengambil langkah lebih jauh dengan melarang transfer ke akun lain pada platform yang sama.)
Meskipun perusahaan-perusahaan tersebut mengklaim bahwa praktik tersebut semata-mata merupakan tindakan keamanan, namun hal itu juga memungkinkan mereka untuk mengendalikan bagaimana dan kapan tiket mereka dijual kembali. (Yay, kapitalisme?)
Ticketmaster dan AXS membuat tiket “yang tidak dapat dipindahtangankan” menggunakan kode batang yang berubah setiap beberapa detik, sehingga tidak dapat digunakan untuk tangkapan layar atau cetakan. Di sisi belakang, mereka menggunakan teknologi dasar yang mirip dengan aplikasi autentikasi dua faktor. Selain itu, kode hanya dibuat sesaat sebelum acara dimulai, sehingga membatasi waktu untuk membagikannya di luar aplikasi. Tanpa campur tangan dari pihak luar, platform tersebut dapat mengunci pembeli tiket ke layanan penjualan kembali mereka sendiri, sehingga mereka memiliki kendali vertikal atas seluruh ekosistem.
Di sinilah para peretas berperan. Dengan menggunakan temuan Conduition yang dipublikasikan, mereka mengekstrak token rahasia platform yang menghasilkan tiket baru, menggunakan ponsel Android dengan browser Chrome yang terhubung ke Chrome DevTools pada PC desktop. Dengan menggunakan token tersebut, mereka membuat infrastruktur tiket paralel yang menghasilkan kembali kode batang asli pada platform lain, yang memungkinkan mereka untuk menjual tiket yang berfungsi pada platform yang tidak diizinkan oleh Ticketmaster dan AXS. Laporan daring mengklaim bahwa tiket paralel tersebut sering berfungsi di gerbang.
Berdasarkan 404 MediaGugatan AXS menuduh para terdakwa menjual tiket “palsu” (meskipun biasanya berhasil) kepada “pelanggan yang tidak menaruh curiga.” Dokumen pengadilan tersebut diduga menggambarkan tiket paralel tersebut sebagai “dibuat, secara keseluruhan atau sebagian oleh satu atau lebih Terdakwa yang secara ilegal mengakses dan kemudian meniru, meniru, atau menyalin tiket dari Platform AXS.”
Gugatan AXS mengklaim perusahaan tersebut tidak tahu bagaimana para peretas melakukannya. Janji untuk melakukan jailbreak pada Ticketmaster sangat menguntungkan sehingga beberapa broker dilaporkan telah mencoba mempekerjakan Conduition untuk membantu mereka membangun platform pembuat tiket paralel mereka sendiri. Layanan yang sudah beroperasi berdasarkan temuan peneliti tersebut dikenal dengan nama-nama seperti Secure.Tickets, Amosa App, Virtual Barcode Distribution, dan Verified-Ticket.com.
404 MediaSeluruh ceritanya layak dibaca. Orang-orang yang lebih paham teknologi mungkin tertarik dengan temuan Conduition sebelumnya, yang menggambarkan apa yang dilakukan raksasa penjualan tiket di bagian belakang mereka untuk menjaga seluruh ekosistem tetap dalam cengkeraman mereka.
