Μια ομάδα χάκερ διαθέτει μαζικά στο διαδίκτυο εισιτήρια της Ticketmaster που έκλεψαν. Θεωρητικά, αυτά τα εισιτήρια δεν θα έπρεπε να λειτουργούν, αλλά υπάρχουν βάσιμες υποψίες ότι μπορούν να χρησιμοποιηθούν κανονικά.
Αφού μια ομάδα χάκερ διέρρευσε πρόσφατα χιλιάδες κλεμμένα barcodes (Γραμμωτοί Κώδικες) εισιτηρίων Ticketmaster για συναυλίες της Taylor Swift, η πληγείσα εταιρεία τόνισε ότι τα εισιτήρια ήταν ασφαλισμένα με μια τεχνολογία που ονομάζεται Safetix. Αυτή η τεχνολογία ανανεώνει τον εκάστοτε barcode κάθε μερικά δευτερόλεπτα, καθιστώντας άχρηστο το εισιτήριο σε περίπτωση κλοπής ή μεταπώλησης.
Ωστόσο, οι χάκερ φαίνεται να έχουν διαφορετική άποψη, σύμφωνα με ένα νέο άρθρο του Bleeping Computer.
“Η Ticketmaster ψεύδεται στο κοινό λέγοντας ότι τα barcodes δεν μπορούν να χρησιμοποιηθούν. Η βάση δεδομένων των εισιτηρίων περιέχει τόσο ψηφιακά όσο και φυσικά εισιτήρια”, γράφει η ομάδα κυβερνοεγκληματιών που φέρει το όνομα Sp1d3rHunters σε ένα φόρουμ χάκερ. “Τα φυσικά εισιτήρια εκτυπώνονται και δεν μπορούν να ενημερωθούν αυτόματα”.
Στο ίδιο πλαίσιο, η Sp1d3rHunters δημοσίευσε ξανά περισσότερα από 30.000 εισιτήρια. Σύμφωνα με το Bleeping Computer, πρόκειται για τα λεγόμενα Ticketfast Tickets, τα οποία οι αγοραστές λαμβάνουν συνήθως μέσω email για να τα εκτυπώσουν οι ίδιοι.
Από τούτη την κατάσταση επηρεάζονται συνολικά 154 εκδηλώσεις και συναυλίες, συμπεριλαμβανομένων αυτών των Aerosmith, Alanis Morissette, Bruce Springsteen, Foo Fighters, Metallica, Pink και Red Hot Chili Peppers.
Οι απογοητευμένοι αγοραστές εισιτηρίων παρακάμπτουν το Safetix
Ακόμα και τα εισιτήρια που προστατεύονται με Safetix και φέρουν την ένδειξη “μη μεταβιβάσιμα” από την εφαρμογή Ticketmaster, φαίνεται ότι δεν είναι τόσο ασφαλή όσο ισχυρίζεται η Ticketmaster. Σύμφωνα με άρθρο του 404 Media, υπάρχουν πλέον διάφορες υπηρεσίες που μπορούν να παρακάμψουν αυτόν τον μηχανισμό ασφαλείας, καθιστώντας δυνατή την μεταπώληση υπαρχόντων εισιτηρίων.
Η βάση για αυτόν τον ισχυρισμό τέθηκε σε έρευνα από ένα ερευνητή ασφαλείας με το ψευδώνυμο Conduition, ο οποίος αγόρασε ο ίδιος εισιτήρια από την Ticketmaster και αντιμετώπισε σοβαρά προβλήματα κατά τη χρήση τους. “Ο χώρος της εκδήλωσης ήταν τόσο γεμάτος που τα δίκτυα κινητής τηλεφωνίας και το Wi-Fi ήταν υπερφορτωμένα”, γράφει ο ερευνητής σε μια ανάρτηση ιστολογίου τον Φεβρουάριο.
Η πρόσβαση στο διαδίκτυο ήταν “υπερβολικά ασταθής”, αναφέρει. Οι επισκέπτες προσπάθησαν μάταια να ενημερώσουν την εφαρμογή εισιτηρίων τους για να εξαργυρώσουν το εισιτήριο τους. Ακόμη και το προσωπικό της εκδήλωσης ήταν εντελώς αβοήθητο απέναντι στην κατάσταση. “Πλήρωσα 300 δολάρια ΗΠΑ για αυτήν την εμπειρία υψηλής τεχνολογίας”, σχολιάζει ο ερευνητής.
Αντίστροφη μηχανική για τη χρήση κλεμμένων εισιτηρίων
Με το Safetix, δημιουργείται ένας νέος γραμμικός κώδικας εισιτηρίου κάθε λίγα δευτερόλεπτα, έτσι ώστε τα εισιτήρια να μην μπορούν να μεταβιβαστούν μέσω στιγμιότυπων οθόνης ή εκτυπώσεων. Ωστόσο, ο Conduition χρησιμοποίησε αντίστροφη μηχανική για να ανακαλύψει πώς είναι δομημένες λεπτομερώς οι πληροφορίες που είναι ενσωματωμένες στους γραμμωτούς κώδικες και πως μπορούν να δημιουργηθούν έγκυρα εισιτήρια σε πραγματικό χρόνο χωρίς την εφαρμογή Ticketmaster.
Επομένως, τα δεδομένα αποτελούνται από τρία στοιχεία: ένα μπλοκ δεδομένων με κωδικοποίηση Base64, δύο εξαψήφιους κωδικούς TOTP (Time-based One-Time Password), όπως στις εφαρμογές 2FA του Authy ή το Google Authenticator, και μια χρονική σήμανση.
Σύμφωνα με το Conduition, το μπλοκ δεδομένων με κωδικοποίηση Base64 παραμένει μόνιμα. Εάν ο γραμμωτός κώδικας ενημερωθεί, αλλάζουν μόνο τα TOTP και η χρονική σήμανση. Το τελευταίο δείχνει πότε δημιουργήθηκε ο τρέχων γραμμωτός κώδικας. Τα TOTP, από την άλλη πλευρά, βασίζονται σε δύο κλειδιά που επιστρέφονται από το Ticketmaster API, τα οποία προφανώς προσδιορίζουν τον αντίστοιχο πελάτη (customer Key) και την εκδήλωση που παρευρέθηκε (event Key).
Με βάση αυτές τις πληροφορίες, ο ερευνητής κατάφερε τελικά να αναπτύξει τη δική του διαδικτυακή εφαρμογή που ονομάζεται Ticketgimp , η οποία παράγει πάντα έγκυρους γραμμωτούς κώδικες εφόσον είναι διαθέσιμα τα απαιτούμενα δεδομένα εισιτηρίων. Το τελευταίο μπορεί να διαβαστεί σχετικά εύκολα από την εφαρμογή Ticketmaster για τα δικά σας εισιτήρια χρησιμοποιώντας τα εργαλεία προγραμματιστών του Chrome.
