黄牛利用漏洞破解电子门票，绕过平台转售限制

星阁 • 2024年07月09日 06:12 • 财经

Ticketmaster

一些黄牛利用了一名安全研究员的研究成果，逆向工程了 Ticketmaster 和 AXS 平台上“不可转让”的电子门票，从而可以在他们的应用程序之外进行转售。据最早报道此消息的科技媒体 404 Media 称，这一变通方法是在 AXS 5 月份针对采取这种做法的第三方代理商提起诉讼时披露的。

这起事件始于 2 月份，当时一位匿名的安全研究员 Conduition 发布了有关 Ticketmaster 如何生成电子门票的技术细节。如果你还不熟悉现代电子票务系统的工作原理，Ticketmaster 和 AXS 将门票转售锁定在自己的平台内，防止在 SeatGeek 和 StubHub 等第三方服务上转售。（对于更重要的活动，他们通常会更进一步，禁止转让给同一平台上的其他帐户。）

尽管这些公司声称这种做法纯粹是出于安全考虑，但这也有助于他们控制门票的转售方式和时间。（万岁，资本主义？）

Ticketmaster 和 AXS 使用每隔几秒就更改一次的旋转二维码创建“不可转让”门票，以防止截屏或打印后仍可使用。在后端，它使用了与双因素身份验证应用程序类似的基础技术。此外，这些代码仅在活动开始前很短的时间内生成，从而限制了在应用程序之外共享它们的窗口。在没有外部干扰的情况下，这些平台可以将购票者锁定到自己的转售服务中，从而使他们垂直控制整个生态系统。

这时候，黑客就出场了。他们利用 Conduition 公布的研究成果，提取了生成新门票的平台秘密令牌，方法是使用一部 Android 手机，该手机的 Chrome 浏览器连接到台式电脑上的 Chrome DevTools。使用这些令牌，他们创建了一个并行的票务基础设施，可以在其他平台上重新生成真正的二维码，从而可以在 Ticketmaster 和 AXS 不允许的平台上出售有效门票。网上报道称，这些平行门票通常可以在闸门处使用。

据 404 Media 称，AXS 的诉讼指控被告向“毫无戒心的客户”出售“假冒”门票（尽管这些门票通常有效）。据称，法庭文件将平行门票描述为“全部或部分由一名或多名被告非法访问，然后模仿、模拟或复制 AXS 平台上的门票而创建的”。

AXS 的诉讼声称，该公司不知道黑客是如何做到这一点的。从本质上破解 Ticketmaster 的承诺是如此诱人，据报道，几家代理商已试图聘请 Conduition 帮助他们建立自己的并行门票生成平台。已经根据该研究员研究成果运营的服务包括 Secure.Tickets、Amosa App、Virtual Barcode Distribution 和 Verified-Ticket.com 等。

404 Media 的完整报道值得一读。更具技术头脑的人们可能会对 Conduition 早先的研究结果感兴趣，这些研究结果说明了这些票务巨头在幕后做了些什么，以便将整个生态系统掌握在自己手中。

原创文章，作者：星阁，如若转载，请注明出处：http://www.xgrl.net/n/202407090612352360.shtml