Подростки взломали карту CharlieCard бостонского метро, чтобы получить бесконечные бесплатные поездки, и на этот раз ни на кого не подали в суд
Энди Гринберг
В начале августа 2008 года, почти ровно 15 лет назад, хакерская конференция Defcon в Лас-Вегасе разразилась одним из самых страшных скандалов в ее истории. Незадолго до того, как группа студентов Массачусетского технологического института планировала выступить на конференции с докладом об обнаруженном ими методе бесплатного проезда в системе метро Бостона, известном как Управление транзита Массачусетского залива, MBTA подала на них в суд и получила запретительный судебный приказ, чтобы предотвратить их от разговора. Доклад был отменен, но не раньше, чем слайды хакеров были широко распространены среди участников конференции и опубликованы в Интернете.
Летом 2021 года 15-летние Мэтти Харрис и Закари Берточки ехали в бостонском метро, когда Харрис рассказал Берточки о прочитанной им статье в Википедии, в которой упоминался этот момент в истории хакеров. Двое подростков, оба учащиеся Медфордской профессионально-технической школы в Бостоне, начали размышлять о том, смогут ли они повторить работу хакеров Массачусетского технологического института и, возможно, даже получить бесплатные поездки на метро.
Они считали, что это невозможно. «Мы предполагали, что, поскольку это произошло более десяти лет назад и получило широкую огласку, они это исправят», — говорит Харрис.
Бертокки переходит к концу истории: «Они этого не сделали».
Анджела Уотеркаттер
Джулиан Чоккатту
Лекси Панделл
Уилл Найт
Теперь, после двух лет работы, эта пара подростков и двое друзей-хакеров, Ноа Гибсон и Скотт Кэмпбелл, представили результаты своего исследования на хакерской конференции Defcon в Лас-Вегасе. Фактически, они не только повторили трюки хакеров MIT 2008 года, но и пошли еще дальше. В 2008 году команда взломала бостонские бумажные карточки Charle Ticket с магнитной полосой, чтобы скопировать их, изменить их стоимость и получить бесплатные поездки, но эти карты вышли из строя в 2021 году. Поэтому четверо подростков расширили другие исследования, проведенные командой хакеров 2008 года, чтобы полностью обратить вспять разработать CharlieCard, бесконтактные смарт-карты RFID, которые MBTA использует сегодня. Хакеры теперь могут добавить любую сумму денег на одну из этих карт или незаметно обозначить ее как студенческую карту со скидкой, карту старшего поколения или даже карту сотрудника MBTA, дающую неограниченное количество бесплатных поездок. «Вы называете это, мы можем это сделать», — говорит Кэмпбелл.
Чтобы продемонстрировать свою работу, подростки зашли так далеко, что создали свой собственный портативный «торговый автомат» — небольшое настольное устройство с сенсорным экраном и датчиком RFID-карты, — который может добавлять любую ценность к CharlieCard по их выбору или изменять ее настройки, а также они встроили ту же функциональность в приложение для Android, которое может добавлять кредит одним касанием. Оба трюка они демонстрируют на видео ниже:
В отличие от взлома метро Defcon в 2008 году (и это является признаком того, как далеко компании и правительственные учреждения продвинулись в своих отношениях с сообществом кибербезопасности), четверо хакеров говорят, что MBTA не угрожала подать на них в суд или пытаться заблокировать их разговор о Defcon. Вместо этого в начале этого года они пригласили их в штаб-квартиру транзитного управления, чтобы провести презентацию об обнаруженных ими уязвимостях. Затем MBTA вежливо попросило скрыть часть своей техники, чтобы другим хакерам было сложнее ее повторить.
Хакеры утверждают, что MBTA на самом деле не устранила обнаруженные ими уязвимости и вместо этого, похоже, ждет совершенно новой системы карточек метро, которую планирует внедрить в 2025 году. Когда WIRED обратился к MBTA, ее директор по связям с общественностью Джо Песатуро ответил в заявлении, что «MBTA было приятно, что студенты обратились к команде и начали сотрудничать с командой по сбору платы за проезд».
«Следует отметить, что уязвимость, выявленная студентами, НЕ представляет непосредственной угрозы для безопасности, нарушения работы системы или утечки данных», — добавил Песатуро. «Команда MBTA по обнаружению мошенничества усилила мониторинг, чтобы учесть эту уязвимость, [и] не ожидает каких-либо значительных финансовых последствий для MBTA. Эта уязвимость не будет существовать после запуска новой системы оплаты проезда, поскольку это будет система на основе учетных записей, а не сегодняшняя система на основе карт».