Scorpyn Scanner - Análise do programa 'Fura-Fila' da Copa do Mundo

Em Junho/2014, durante a realização da Copa do Mundo da FIFA 2014™, a Revista VEJA publicou um artigo descrevendo um software que 'dribla' a segurança do site oficial da entidade desportiva. De acordo com o artigo, esse software – que teria sido criado por hackers – consegue furar a fila digital da venda de ingressos para o evento e alertar sobre bilhetes disponíveis. 1

O objetivo desse blog post é fornecer uma breve visão geral sobre o (provável) autor e o histórico da ferramenta, bem como tecer uma rápida análise sobre sua operação. Também são brevemente discutidas algumas 'considerações filosóficas' acerca das principais funcionalidades do software, tais como se elas podem ser consideradas 'hacking' sob uma ótica estritamente técnica, sem entrar no mérito das questões legais possivelmente envolvidas.

O título do artigo original da Revista VEJA é "Programa acessa dados da Fifa e abre atalho para ingresso" e pode ser acessado na URL listada a seguir:

(Provável) Autor da ferramenta

O indivíduo associado com essa ferramenta aparenta ser Faisal Waqar Saleem ([email protected]), da Arábia Saudita. Ele não aparenta ter se esforçado para esconder sua identidade, o que é consistente com sua opinião pública de que sua ferramenta não se trata de hacking.

Ele utiliza o userid 'scorpyn78' de maneira consistente há muito tempo, no Twitter por exemplo (@scorpyn78). Domínio associado: scorpyn.com (criado em 2011).

Histórico da ferramenta

O ator scorpyn78 aparenta 'estudar' o código do website da FIFA e acompanhar informações que a FIFA divulga sobre venda (fases, datas) há muito tempo. Encontramos indícios de que essa ferramenta, que antes circulava em fóruns de fãs de futebol (particularmente no site forums.bigsoccer.com), está em desenvolvimento desde, no mínimo, 2010 (Maio - pouco antes da Copa do Mundo da África do Sul). O ator já declarou que oferecerá uma versão específica para a Copa do Mundo FIFA 2018 (Rússia).

Em 25 de Fevereiro de 2014, foi criado por scorpyn78 um tópico fixo e público (não requer login) para discussão sobre o programa. No início de Julho, o tópico já contava com mais de 250 páginas, totalizando mais de 6.250 postagens (25 mensagens por página). É um fórum bastante ativo.

A matéria de Veja acabou causando o efeito contrário: fez com que a ferramenta saísse do 'gueto' dos fóruns especializados.

Análise da operação do 'Scorpyn Scanner 2014'

A ferramenta Scorpyn Scanner 2014 (nome atual) se auto-intitula um 'ticket scanner', ou seja, ele teoricamente não se aproveitaria de brechas de segurança do site da FIFA.

Logo após a publicação do artigo da Revista VEJA, a opção de download do programa ficou indisponível por um breve período, sendo apresentada a mensagem "Thank you everyone for your appreciation! See you for Russia 2018!". Alguns dias depois a opção de download voltou a ficar disponível normalmente.

Atualmente, na data de publicação deste artigo (22/Julho), a opção de download está novamente indisponível, sendo exibida a mesma mensagem apresentada anteriormente.

Segundo o desenvolvedor da ferramenta, o Scorpyn é compatível com o sistema operacional Microsoft Windows Vista e superiores. Entretanto, alguns usuários já relataram sua utilização com sucesso no Windows XP.

A seguir são listadas as principais funcionalidades do 'Scorpyn Scanner 2014':

  • Scanning de ingressos (principal funcionalidade);
  • Quebra de CAPTCHA exibido pelo site da FIFA;
  • Funcionalidade para 'forçar' a tentativa de compra de ingressos para um 'jogo+categoria' escolhido pelo usuário:
  • Opção extra 'Lucky Catch' para realizar a tentativa forçada de compra de forma mais 'direta', para um único 'jogo + categoria + quantidade de ingressos' pré-definidos na configuração do programa.

Detalhamento das principais funcionalidades do Scorpyn:

1) Scanning

O grande diferencial da função 'Scanning' é exibir a quantidade de ingressos disponíveis para um determinado jogo. Os ingresso disponíveis são separados por tipos – CAT 1, 2, 3, 4 e categorias especiais (usuários de cadeiras de rodas, pessoas com dificuldade de mobilidade e pessoas obesas).

Essa única funcionalidade já é um grande atrativo, já que a loja web oficial da FIFA não exibe esse dado (quantidade de ingressos). O website oficial informa a disponibilidade de maneira não precisa - Baixa, Média e Alta.

Um de nossos analistas observou o comportamento do programa e concluiu que a funcionalidade de 'Scanning' (uma de suas principais funções) aparentemente não realiza nenhum tipo de 'hack' (exploração de vulnerabilidades de segurança) nos servidores web da FIFA.

OBS: Esse 'conceito' de que a ferramenta não realiza nenhum tipo de hack pode ser questionado em pelo menos uma de suas funcionalidades, conforme descrito nos próximos parágrafos.

O Scorpyn consulta uma URL pública do próprio site da Fifa, que retorna um arquivo em formato XML que contém todos os dados sobre os jogos da Copa 2014, incluindo a quantidade de ingressos disponíveis por categoria.

O que o programa faz de 'especial' é apenas 'tratar' esse XML e exibi-lo de forma amigável para um usuário comum, não havendo indícios de qualquer tipo de 'invasão' ou acesso a bancos de dados e/ou outros tipos de 'servidores internos' da FIFA.

Alguns usuários do fórum bigsoccer.com alegaram ter desenvolvido scripts que replicavam essa funcionalidade. Um exemplo disso é o website público hxxp://www.furafiladacopa.com/ que também exibe as informações da quantidade de ingressos.

Esse website se limita às funcionalidades de 'Scanning' e alerta, ou seja, exibe a quantidade de ingressos disponíveis em todas as categorias e permite a configuração de um alerta sonoro, que é acionado quando ingressos para determinados jogos estiverem disponíveis.

O Scorpyn vem pré-configurado com a URL pública (do site da FIFA) que fornece o arquivo XML com dados de ingressos. Entretanto, o próprio desenvolvedor do programa informou que há pelo menos mais uma URL 'alternativa'. As URLs eram:

URL principal (informações sobre os jogos restantes):

  • hxxps://fwctickets.fifa.com/TopsAkaCalls/Calls.aspx/getRefreshChartAvaDem?l=en&c=BRA

URL alternativa (informações sobre todos os jogos, indiscriminadamente):

  • hxxp://fwctickets.fifa.com/TopsAkaCalls/Calls.aspx/getBasicDataAvaDem?l=en&c=BRA

O parâmetro 'c=BRA' ao final das URLs tem a função de diferenciar usuários brasileiros de estrangeiros, pois os primeiros tinham direito a adquitir ingressos da Categoria 4 – mais barata que as demais. Os estrangeiros teoricamente não possuíam direito de comprar ingressos dessa categoria.

As URLs são públicas – isto é, estão publicadas em um endereço acessível pela Internet – e aparentemente não foi realizado nenhum tipo de 'hack'. Entretanto, não é possível garantir que essa URL foi obtida por meio lícitos. Ainda não se sabe como o desenvolvedor do Scorpyn teve acesso a essas URLs — por exemplo, se foi por meio da análise do código do website da FIFA ou a partir de alguma informação/acesso privilegiado.

É bastante provável que o desenvolvedor tenha depurado o processo normal de compra no site da FIFA e conseguido identificar acessos a essas URLs através de algumas das interfaces web oficiais da FIFA. Essa tarefa não é difícil de ser executada utilizando algum software (legítimo), tal como um 'Local Proxy', por exemplo. Esse tipo de ferramenta permite, entre diversas outras funcionalidades, a interceptação e identificação de todas as URLs acessadas por um navegador em uma determinada sessão de navegação.

O Scorpyn também permite, entre outras opções, que se configure os seguintes parâmetros:

  • I. Tempo de refresh para coletar os dados na URL configurada. Esse tempo pode ser configurado para valores que vão de 1 e 30 segundos. Dessa forma, o programa irá consultar os dados contidos na URL bem mais rapidamente que a interface web oficial da FIFA, que atualiza os dados sobre disponibilidade (baixa, média e alta) a cada 5 minutos.

  • II. Alerta de disponibilidade: Configurar uma música MP3, envio de mensagem de e-mail ou ambos para informar quando um determinado 'jogo, categoria e quantidade de ingressos' aparece como disponível no site da FIFA.

Era possível configurar o programa de forma que ele emitisse o alerta para 'MATCH 01' – a abertura da Copa – assim que fossem disponibilizados ingressos para a Categoria 3 e 4 e caso estivessem disponíveis um mínimo de 2 ingressos. Outras configurações são possíveis em uma espécie de 'lista priorizada', mas o número de ingressos pode variar apenas de 1 a 4, pois este é o número máximo de ingressos que pode ser comprado por usuário, para um único jogo, no site da FIFA.

Mais uma vez, o programa demonstra não permitir ações 'ilegais' – neste caso, a compra de um número de ingressos maior do que o permitido. Durante a análise do Scorpyn, a configuração desse alerta continuava disponível para os jogos restantes.

  • III. Adição automática ao carrinho: Tentar adicionar automaticamente um determinado número de ingressos (1 a 4) ao 'carrinho de compras' do usuário tão logo os ingressos de interesse pré-configurados estejam disponíveis.

Essa funcionalidade necessita da utilização da função 'quebrar CAPTCHA' do programa, descrita mais abaixo. O usuário deve estar com uma sessão aberta no site da FIFA 'por dentro' do programa Scorpyn, o que não é necessário caso o usuário deseje apenas visualizar a quantidade de ingressos disponíveis e/ou receber os alertas (sonoro e/ou envio de e-mail).

É importante informar que mesmo quando um usuário do Scorpyn rapidamente tente realizar a compra do ingressos, isso não é garantia de sucesso. O website da FIFA muitas vezes não concretiza a compra, apresentando a mensagem "Ingressos esgotados".

Centenas de usuários comentaram sobre esse problema no fórum bigsoccer.com. De acordo com tais comentários, esses erros são frequentes e se intensificaram nas últimas semanas da Copa do Mundo. É bem possível que isso tenha acontecido devido a uma menor quantidade de ingressos disponibilizados pela FIFA e a uma quantidade muito maior de usuários utilizando o programa e/ou o próprio site oficial da FIFA.

2) Quebra de CAPTCHA

A funcionalidade 'quebra de CAPTCHA' permite que se questione se a ferramenta realmente não faz uso de nenhum tipo de 'hack', conforme mencionado anteriormente.

De antemão, não podemos afirmar se a quebra de códigos CAPTCHA é ou não considerada crime pela legislação brasileira. Ademais, esse tipo de mecanismo (CAPTCHA), no caso do site da FIFA, visa justamente a evitar a 'conclusão da escolha de um ingresso' através de processos automatizados, o que poderia se configurar, por si só, como uma forma de se 'infringir' os regulamentos da FIFA.

Entenda-se por 'conclusão da escolha de um ingresso' o processo de adicionar ingressos ao carrinho de compras, antes do pagamento propriamente dito. Após essa etapa, o usuário tem 15 minutos para concluir a compra. Não realizamos nenhum teste nesse sentido, visto que poderíamos infringir as regras de uso da FIFA para o website.

A funcionalidade de 'quebra de CAPTCHA' utilizada pelo Scorpyn é 'intermediada' através de 02 sites 'terceirizados'. Esses serviços são pagos, mas vários usuários do fórum bigsoccer.com afirmaram ter comprado 'créditos' (ao custo de USD $7,00 no primeiro serviço e USD $10,00 no segundo).

Após utilizarem os créditos através do Scorpyn, alguns desses usuários publicaram suas credenciais (login e senha) no tópico fixo sobre o Scorpyn, de forma que dezenas ou até centenas de outros participantes do fórum podem ter tido acesso a eles sem custo.

O desenvolvedor do Scorpyn informou no fórum bigsoccer.com que recomendava que os usuários do programa não utilizassem os 'quebradores' automáticos de CAPTCHA.

O motivo, segundo ele, era apenas técnico: Seria mais rápido digitar os códigos dos CAPTCHAs manualmente do que esperar o programa 'quebrá-los'.

De fato, um dos sites de 'quebra de CAPTCHAs' informa um tempo médio de 'quebra' entre 6 e 8 segundos. Um usuário com boa velocidade de digitação pode digitar o CAPTCHA em até 3 segundos. A rapidez com que um usuário consegue digitar os códigos dos CAPTCHAs é muito importante para efetivamente conseguir adicionar ingressos ao 'carrinho de compras'.

3) 'Forçar' a compra de ingressos

Essa funcionalidade permite que o usuário selecione um 'jogo + categoria' específicos na lista de jogos/ingressos e utilize a função "Add to cart" de 1 a 4 ingressos (existente em um menu drop-down do programa), mesmo quando os ingressos desse jogo/categoria aparecem como indisponíveis.

Segundo o desenvolvedor, o objetivo dessa funcionalidade não é burlar nenhum mecanismo de controle da FIFA, mas sim tentar realizar a compra de ingressos que realmente já estão disponibilizados mas ainda não foram 'marcados como disponíveis' pelos sistemas da FIFA.

É possível que o desenvolvedor esteja falando a verdade. Esse processo de 'Force add to cart' é semelhante ao processo normal de compra realizado dentro do programa, ou seja, o usuário ainda precisará digitar o código do CAPTCHA manual ou automaticamente. Também é necessário responder o desafio do CAPTCHA quando o usuário tenta adicionar (automaticamente) o ingresso ao carrinho de compras através da funcionalidade de 'Scanning' do programa.

Quando bem sucedidas, tanto a funcionalidade 'Force add to cart' quanto a compra automatizada adicionam o ingresso ao 'carrinho de compras'. Depois que isso acontece, o usuário ainda precisa interceder junto ao programa, concluindo a compra através do fornecimento dos dados de seu cartão de crédito.

4) Lucky Catch

Essa função é descrita como uma 'tentativa de sorte', onde o usuário realiza uma pré-configuração de um determinado 'jogo + categoria + quantidade de ingressos' de sua preferência. Caso o usuário esteja logado no site da FIFA por meio do Scorpyn, ele poderá clicar em um botão que aparece sobre as páginas normais do site da FIFA.

O clique em tal botão (destacado em vermelho, no canto inferior direito da imagem acima) executará a mesma ação do 'Force add to cart' descrita anteriormente, porém de uma forma mais rápida e direta, sem o usuário precisar selecionar 'jogo + categoria' e usar a função "Add to cart" através do menu drop-down.

De acordo com o desenvolvedor, o objetivo é permitir que o usuário possa realizar essa 'Tentativa de sorte' perto dos horários em que a FIFA costuma liberar novos 'lotes de ingressos', sem perder tempo consultando se os ingressos já apareceram como disponíveis e/ou selecionando o menu drop-down manualmente. A alta concorrência por ingressos disponívels faz com que esse tempo perdido seja crucial para uma compra bem sucedida.

Os horários de liberação de 'novos lotes' de ingressos eram amplamente conhecidos por usuários do fórum bigsoccer.com. Esse período costumava se iniciar diariamente por volta das 05:00, horário de Brasília. Alguns usuários também relataram 'big drops' (novos lotes disponibilizados pela FIFA, com muitos ingressos) acontecendo por volta fas 23:00 (horário de Brasília), mas isso teria ocorrido somente no início da competição.

Conclusões

Conforme descrito ao longo do texto, o Scorpyn possui 4 funcionalidades principais. Sob uma ótica estritamente técnica, pode-se concluir que a maioria dessas funcionalidades não realiza nenhum tipo de hacking em servidores da FIFA. A mesma afirmação não pode ser feita acerca de todo o programa, pois pelo menos uma de suas funcionalidades pode ser considerada hacking ou, minimamente, 'questionável' do ponto de vista ético.

A primeira – e possivelmente a mais importante – dessas funcionalidades é a de 'Scanning'. Ela não aparenta realizar quaisquer tipos de hacking, pois apenas realiza consultas a URLs públicas, isto é, disponibilizadas para acessos originados na Internet. O mesmo não pode ser dito da funcionalidade de 'quebra' de CAPTCHA, conforme delienado a seguir.

Apesar do Scorpyn não realizar o processo de 'quebra' em si, ele oferece uma estrutura pronta para integração e utilização de sites 'terceirizados' que oferecem essa funcionalidade. Ainda que esse processo não realize a 'invasão' de quaisquer servidores e/ou ativos da FIFA, vale lembrar que mecanismos de CAPTCHA são usualmente utilizados para evitar processos automatizados, disparados por software. O que o Scorpyn oferece, em última instância, é justamente uma opção para 'burlar' um mecanismo de defesa/proteção implantado com o objetivo de impedir compras automatizadas.

As demais funcionalidades — 'Forçar' a compra de ingressos e 'Lucky Catch' — aparentemente apenas tentam adicionar ingressos ao 'carrinho de compras' oficial, respeitando inclusive o número-limite de 4 ingressos, imposto pela FIFA. A diferença é que o 'pedido de compra' é realizado mesmo quando os ingressos não aparecem como 'disponíveis' no site oficial, o que pode ocorrer devido a uma demora natural dos sistemas da FIFA em atualizar a disponibilidade.

Por fim, o usuário ainda precisará responder ao desafio do CAPTCHA (ou configurar sua 'quebra' automática) para que consiga efetivamente adicionar os ingressos solicitados ao 'carrinho de compra'. Somente em seguida o usuário poderá prosseguir à última etapa, onde devem ser fornecidas as informações de pagamento de acordo com o fluxo normal de compras do site da FIFA.

Tempest ThreatIntel Team



1 O objetivo desse blog post é fornecer uma breve visão geral sobre o (provável) autor e o histórico da ferramenta, bem como tecer uma rápida análise sobre sua operação. Também são brevemente discutidas algumas 'considerações filosóficas' acerca das principais funcionalidades do software, tais como se elas podem ser consideradas 'hacking' sob uma ótica estritamente técnica, sem entrar no mérito das questões legais possivelmente envolvidas. [ voltar ]

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.
Threat Intelligence Team | 2014-08-15 17:10:13 | permalink | topo

Caro/a 'Mings',

Obrigado por seu comentário.

Preferimos focar nossa análise nos aspectos estritamente técnicos do software, de forma que a seção '(Provável) Autor da ferramenta' foi inserida apenas para breve contextualização do leitor. Ademais, não partimos da premissa de que informações sobre a localização de atores sempre correspondam à verdade.

Abraços.

Mings | 2014-08-14 17:32:51 | permalink | topo

Pessoal, no próprio fórum o Scorp fala que é do Paquistão, nada a ver com Arábia Saudita. Shame.

Scorpyn78 | 2014-08-03 07:45:53 | permalink | topo

Wow! Very detailed and very accurate! Really appreciate the effort to clarify there was no hacking involved! Great job. Thanks.

Feel free to contact me if you have any questions.