Toen tienduizenden fans in de wachtrij stonden voor tickets voor de Ye Live Concert-shows op 6 en 8 juni 2026 in het Gelredome, waren zij niet de enigen. Achter elke grote ticketverkoop vandaag de dag speelt zich een onzichtbare strijd af. Eentje die de meeste fans nooit zien, maar wel degelijk voelen.

In dit artikel leggen we uit hoe Weeztix, mede door zijn open API-architectuur, hard werd geraakt door bots tijdens de Ye-verkoop en hoe we dat oplosten zonder afbreuk te doen aan de gebruikservaring.

De financiële drijfveer achter scalping

Voordat we ingaan op de technische details is het goed om te begrijpen waarom evenementen van deze schaal bots aantrekken. Ticketscalping is een business met hoge marges. Koop 50 tickets voor €180 per stuk, zet ze op ongereguleerde secundaire markten voor €600 per kaartje, en het rendement op één sessie ligt tussen de 100% en 200%. Voor een zeldzaam evenement als dit is de potentiële beloning groot genoeg om serieus te investeren in dergelijke tooling.

De strategie achter de bots

De meest gebruikte tool voor dit soort operaties is de sneakerbot. Oorspronkelijk gebouwd voor limited-edition sneaker drops van merken als Nike en Adidas. Rond 2025 vond een duidelijke verschuiving plaats. Scalpers ontdekten dat concerttickets betere marges boden met minder concurrentie, en ze brachten tools als Stellar AIO en Adonis met zich mee. Platforms die zich nooit hadden hoeven verdedigen tegen dit soort aanvallen kwamen plotseling in het vizier.

De strategie werkt als volgt: zet 10.000 bots in om de online wachtrij te overspoelen. Die bots verspreiden zich door de wachtrij en proberen zodra ze vooraan staan zo veel mogelijk goedkope tickets te reserveren. Zelfs een slagingspercentage van 1% levert 100 tickets op, inclusief een forse winst.

Bots kopen in werkelijkheid niet alle tickets die ze gereserveerd hebben, enkel degene die ze nodig hebben. Daardoor kunnen bepaalde ticketsoorten, zoals early-bird tickets, uitverkocht lijken en later alsnog weer vrijkomen voor andere kopers. Dat maakt de verkoop chaotisch en zorgt voor veel frustratie onder fans.

De bots waarmee we geconfronteerd werden

De bots die we tegenkwamen tijdens de Ye-ticketverkoop vielen binnen drie verschillende categorieën. Waarvan elk een andere aanpak vereiste.

1. Consumer-grade sneakerbots

Inmiddels algemeen beschikbaar als abonnementsdienst en zonder technische kennis vrij makkelijk te gebruiken, stellen kant-en-klare interfaces gebruikers in staat om online wachtrijen te targeten met minimale voorbereiding. Ze automatiseren precies de stappen die een gewone fan zou nemen via de voorkant van het platform.

2. Professionele scalper-bots

Een serieuzere dreiging. Deze tools zijn speciaal gebouwd om tickets te scalpen en worden waarschijnlijk ingezet door (semi-)professionele operators. Ze zijn actief bij grote internationale evenementen en concerten en zijn veel krachtiger dan consumer-grade sneakerbots, wat betekent dat ze per seconde veel meer verzoeken doen.

3. Invalid order-bots

Dit was de meest verstorende categorie. Tijdens de eerste ticketverkoop van Ye in Concert richtten deze bots de meeste schade aan. Deze bots sturen golven van onjuist gevormde verzoeken zonder de intentie om een aankoop te voltooien. Hun doel is onduidelijk, maar het resultaat is een aanzienlijke hoeveelheid extra ruis in de database, waardoor intensieve validatieprocessen herhaaldelijk worden uitgevoerd.

Onze standaard veiligheidsmaatregelen

Elk jaar ondersteunen we duizenden peaksales en we ervaren hiermee zelden problemen. Hier volgt een overzicht van de standaardoplossingen die we tijdens al onze evenementen hebben toegepast, inclusief de eerste Ye-piekverkoop:

1. Queue-it

Elke Weeztix-shop wordt beschermd door Queue-it, een virtuele wachtruimte die regelt hoeveel gebruikers er tegelijk de ticketshop binnenkomen. Wanneer de vraag een bepaalde grens overschrijdt, worden bezoekers in een georganiseerde rij geplaatst en op een gecontroleerde snelheid toegelaten. Dit voorkomt overbelasting van het platform tijdens de lancering en zorgt ervoor dat de toegang eerlijk wordt verdeeld volgens het wie het eerst komt, wie het eerst maalt-principe.

2. Rate limiting in de stack*

De applicatie gebruikt 'rate limiting' om het aantal verzoeken dat een enkele gebruiker of IP-adres binnen een bepaalde tijdsperiode kan doen te beperken. Dit biedt een basisgrens van bescherming tegen geautomatiseerde tools die proberen het systeem te overweldigen met snelle, herhaalde verzoeken. Verkeer dat het typische menselijke gedrag overschrijdt, wordt vertraagd of geblokkeerd voordat het schade kan veroorzaken.

3. Real-time monitoring

Tijdens elke peak sale houdt ons team het gedrag van het platform real-time in de gaten. Verkeerspatronen, foutpercentages, databasebelasting en responstijden worden continu bijgehouden. Zo signaleren we afwijkingen zodra ze zich voordoen en kunnen we direct ingrijpen.

4. Shops verplaatsen naar pagina’s gehost door Weeztix

Bij grote peak sales worden geïntegreerde shops en floating shops op de websites van organisatoren verplaatst naar webpagina’s die door Weeztix worden gehost. Wanneer een shop op een externe website draait, is het verkeer verdeeld tussen de infrastructuur van de organisator en die van ons. Dat beperkt waar wij controle over hebben. Door de ticketshop in onze eigen omgeving te hosten, loopt al het verkeer via onze systemen en kunnen we onze bescherming volledig toepassen.

5. Sealed Tickets

Met Sealed Tickets kan een ticket pas vlak voor het evenement worden gedownload. Dat maakt scalping en vervalsing op ongereguleerde markten een stuk lastiger. Doorverkoop via gereguleerde platforms zoals TicketSwap en Tixel werkt gewoon, ook als tickets nog sealed zijn.

6. Database vrijmaken voor conversie

Onze Late Personalisation feature is tijdens peak sales tijdelijk uitgeschakeld. Late Personalisation stelt ticketkopers in staat om het grootste deel van hun gegevens pas na de aankoop in te voeren, wat het afrekenproces sneller maakt. Het nadeel is dat dit zwaarder is voor onze database. Door de Late Personalisation feature tijdens de tweede ticketverkoop uit te schakelen, hebben we flink wat databasecapaciteit vrijgemaakt voor het verwerken van transacties.

• *In de software-architectuur is een stack de gelaagde reeks van technologieën, frameworks en code waar een verzoek doorheen moet, vanaf het moment dat de gebruiker op een knop klikt tot de uiteindelijke database-update.

Wat we veranderden voor de tweede show

Helaas bleken deze beveiligingsmaatregelen niet voldoende voor een evenement van deze omvang, en dat had gevolgen voor de verkoop. Voor de tweede verkoop wisten we dan ook dat we veranderingen moesten doorvoeren: we moesten onze beveiliging nog verder stroomopwaarts verplaatsen, dichter bij de bron van het verkeer, bovenop al onze reguliere veiligheidsmaatregelen. Dit is hoe we het verbeterde:

1. Edge-level rate limiting via Cloudflare

De meest ingrijpende wijziging was het verplaatsen van rate limiting naar de netwerkedge van Cloudflare, zodat verkeer al bij binnenkomst kon worden beoordeeld en geblokkeerd. Bots die voorheen de applicatielaag bereikten en serverresources verbruikten, werden nu al ver daarvoor tegengehouden.

2. Infrastructuur voor puzzels en nieuwe elementen

We deden een infrastructurele wijziging waarmee we puzzels in de UI konden introduceren en rouleren. Zodra ticketkopers vooraan in de wachtrij staan, moeten ze een onverwachte actie voltooien, zoals een puzzel. Omdat we de puzzels rouleren, is het voor consumer-grade bots vrijwel onmogelijk om ze vooraf te programmeren.

3. Segmentatie van shops per geografie

We hebben de verkoop opgesplitst in drie omgevingen met eigen toegangscontroles en betaalmethoden:

• Nederland en België
• Duitsland
• Rest van de wereld: open voor alle regio’s, met fors strengere CAPTCHA-handhaving

IP-adressen buiten de verwachte regio worden direct geblokkeerd. Een botnetwerk in de ene regio had zo geen invloed op een fan in de andere regio.

Het resultaat

De resultaten van de tweede verkoop maakten de veranderingen duidelijk zichtbaar: het aantal databasefouten daalde met 98 procent vergeleken met de eerste verkoop. Botverkeer was nog steeds aanwezig, maar werd effectief aan de edge opgevangen voordat het de prestaties van ons platform kon beïnvloeden, waardoor echte fans hun aankopen gewoon konden afronden.

Wat we hiervan hebben geleerd

We claimen niet dat we het botprobleem permanent hebben opgelost. De mensen achter deze tools zijn volhardend: ze passen zich aan en verfijnen hun scripts om onze maatregelen te omzeilen, waardoor het een voortdurend kat‑en‑muisspel blijft, zeker bij professionele doorverkopers.

Maar we lopen wel een aantal stappen vooruit, en de resultaten weerspiegelen dat. Sinds de aanpassingen die we hebben doorgevoerd voor de tweede Ye-ticketverkoop zijn we erin geslaagd grote evenementen uit te verkopen en peak sales soepel te laten verlopen, waardoor de ervaring van de fans van klanten zoals Audio Obscura, Thuishaven, Verknipt en ADE gewaarborgd blijft. We blijven ontwikkelingen volgen en bijsturen waar nodig. Voor grootschalige ticketverkoop betekent dit dat we de tools en mogelijkheden moeten hebben om bots buiten de deur te houden. Want het draait uiteindelijk om één ding: echte fans een eerlijke kans geven. Het is een skill die we met hard werken hebben ontwikkeld, en die we niet van plan zijn kwijt te raken.

Voor organisatoren en partners

Als je een peak sale plant en wilt begrijpen hoe deze dynamiek jouw event kan beïnvloeden, nemen we de details graag met je door. We delen deze informatie niet voor niets: hoe opener we bespreken wat er tijdens peak sales daadwerkelijk gebeurt, hoe beter iedereen in staat is zijn fans te beschermen en een eerlijke beleving voor hen te waarborgen.

Benieuwd hoe Weeztix omgaat met grootschalige piekverkopen? Neem gerust contact op via de chat of mail naar info@weeztix.com.