Hacker widersprechen: Geklaute Ticketmaster-Tickets wohl doch verwendbar
Nachdem eine Hackergruppe kürzlich Tausende von Ticketmaster erbeutete Ticket-Barcodes für Taylor-Swift-Konzerte veröffentlicht hatte, hat das attackierte Unternehmen betont, die Tickets seien durch eine Technologie namens Safetix gesichert. Dadurch werde der jeweilige Barcode alle paar Sekunden erneuert, was ihn vor Diebstahl und Weitergabe schütze. Die Angreifer sehen das aber offenbar anders, wie aus einem neuen Bericht von Bleeping Computer(öffnet im neuen Fenster) hervorgeht.
"Ticketmaster belügt die Öffentlichkeit und sagt, dass die Barcodes nicht verwendet werden können. Die Ticketdatenbank enthält aber sowohl Online- als auch physische Tickets" , schreibt die als Sp1d3rHunters bekannte Gruppe demnach in einem Hackerforum. Die physischen Tickets würden gedruckt und könnten nicht automatisch aktualisiert werden.
In gleichem Zuge veröffentlichte Sp1d3rHunters erneut mehr als 30.000 Tickets. Laut Bleeping Computer handelt es sich um sogenannte Ticketfast-Tickets, die Käufer in der Regel per E-Mail erhalten(öffnet im neuen Fenster) , um sie selbst auszudrucken. Betroffen sollen 154 Veranstaltungen und Konzerte sein, darunter solche von Aerosmith, Alanis Morissette, Bruce Springsteen, Foo Fighters, Metallica, Pink und Red Hot Chili Peppers.
Enttäuschter Ticketkäufer umgeht Safetix
Selbst die mit Safetix geschützten und "nicht übertragbaren" Tickets aus der Ticketmaster-App sind aber offenbar nicht so sicher, wie Ticketmaster behauptet. Einem Bericht von 404 Media(öffnet im neuen Fenster) zufolge gibt es inzwischen mehrere Dienste, die in der Lage sind, diesen Sicherheitsmechanismus zu umgehen und dadurch etwa den Weiterverkauf bestehender Tickets zu ermöglichen.
Die Grundlage dafür lieferten Untersuchungen eines Sicherheitsforschers mit dem Pseudonym Conduition, der selbst Tickets bei Ticketmaster erworben hatte und mit massiven Problemen bei deren Verwendung konfrontiert war. "Der Veranstaltungsort war so überfüllt, dass die Mobilfunknetze und das Wi-Fi überlastet waren" , schreibt der Forscher in einem Blogbeitrag von Februar(öffnet im neuen Fenster) .
Der Internetzugang sei "fleckiger als ein Dalmatiner mit Windpocken" gewesen. Besucher hätten vergeblich versucht, ihre Ticket-App zu aktualisieren, um ihr Ticket einlösen zu können. Und auch die Mitarbeiter vor Ort seien angesichts der Situation völlig hilflos gewesen. "Ich habe dreihundert US-Dollar für dieses Hightech-Erlebnis bezahlt" , so der Forscher.
Per Reverse Engineering zur eigenen Ticket-App
Mit Safetix wird alle paar Sekunden ein neuer Ticket-Barcode generiert, so dass eine Weitergabe der Tickets über Screenshots oder Ausdrucke ausgeschlossen ist. Conduition fand allerdings per Reverse Engineering heraus, wie die in den Barcodes eingebetteten Informationen im Detail aufgebaut sind und wie sich ohne die Ticketmaster-App in Echtzeit gültige Ticket-Barcodes generieren lassen.
Die Daten setzen sich demnach aus vier Komponenten zusammen: Ein Base64-kodierter Datenblock, zwei sechsstellige TOTPs (Time-based One-Time Password), wie sie etwa von 2FA-Apps wie Authy oder dem Google Authenticator bekannt sind, und ein Zeitstempel.
Der Base64-kodierte Datenblock bleibt laut Conduition permanent bestehen. Wird der Barcode aktualisiert, so ändern sich nur die TOTPs sowie der Zeitstempel. Letzterer zeigt an, wann der aktuelle Barcode generiert wurde. Die TOTPs hingegen basieren auf zwei von der Ticketmaster-API zurückgegebenen Schlüsseln, mit denen augenscheinlich der jeweilige Kunde ( customerKey ) sowie die besuchte Veranstaltung ( eventKey ) identifiziert werden.
Auf Basis dieser Informationen gelang es dem Forscher schließlich, eine eigene Web-App namens Ticketgimp(öffnet im neuen Fenster) zu entwickeln, die stets gültige Barcodes generiert, sofern die erforderlichen Ticketdaten vorliegen. Letztere lassen sich für eigene Tickets wohl anhand der Entwicklertools von Chrome vergleichsweise einfach aus der Ticketmaster-App auslesen.