Language
Adolescentes hackearam o CharlieCard do metrô de Boston para obter viagens gratuitas infinitas - e desta vez ninguém foi processado
LarLar > blog > Adolescentes hackearam o CharlieCard do metrô de Boston para obter viagens gratuitas infinitas - e desta vez ninguém foi processado
ÚLTIMAS NOTÍCIAS

Adolescentes hackearam o CharlieCard do metrô de Boston para obter viagens gratuitas infinitas - e desta vez ninguém foi processado

Jul 31, 2023

Andy Greenberg

No início de agosto de 2008, quase exatamente 15 anos atrás, a conferência de hackers Defcon em Las Vegas foi atingida por um dos piores escândalos de sua história. Pouco antes de um grupo de estudantes do MIT planejar dar uma palestra na conferência sobre um método que encontraram para conseguir viagens gratuitas no sistema de metrô de Boston – conhecido como Massachusetts Bay Transit Authority – a MBTA os processou e obteve uma ordem de restrição para evitar eles de falar. A palestra foi cancelada, mas não antes que os slides dos hackers fossem amplamente distribuídos aos participantes da conferência e publicados online.

No verão de 2021, Matty Harris e Zachary Bertocchi, de 15 anos, estavam no metrô de Boston quando Harris contou a Bertocchi sobre um artigo da Wikipedia que ele leu que mencionava esse momento na história dos hackers. Os dois adolescentes, ambos estudantes da Medford Vocational Technical High School, em Boston, começaram a refletir sobre se conseguiriam replicar o trabalho dos hackers do MIT e talvez até conseguir viagens gratuitas de metrô.

Eles perceberam que deveria ser impossível. “Presumimos que, porque isso aconteceu há mais de uma década e recebeu grande publicidade, eles teriam consertado o problema”, diz Harris.

Bertocchi pula para o final da história: “Eles não fizeram”.

Angela Watercutter

Julian Chokkatu

Lexi Pandell

Cavaleiro

Agora, depois de dois anos de trabalho, essa dupla de adolescentes e dois amigos hackers, Noah Gibson e Scott Campbell, apresentaram os resultados de sua pesquisa na conferência de hackers Defcon em Las Vegas. Na verdade, eles não apenas replicaram os truques dos hackers do MIT de 2008, mas também os levaram um passo adiante. A equipe de 2008 hackeou os cartões de papel com tarja magnética Charle Ticket de Boston para copiá-los, alterar seu valor e obter viagens gratuitas - mas esses cartões saíram de serviço em 2021. Então, os quatro adolescentes estenderam outras pesquisas feitas pela equipe de hackers de 2008 para reverter totalmente projetar o CharlieCard, os cartões inteligentes RFID sem toque que a MBTA usa hoje. Os hackers agora podem adicionar qualquer quantia de dinheiro a um desses cartões ou designá-lo de forma invisível como um cartão de estudante com desconto, um cartão para idosos ou até mesmo um cartão de funcionário da MBTA que oferece viagens gratuitas ilimitadas. “Você escolhe, nós podemos fazer isso”, diz Campbell.

Para demonstrar seu trabalho, os adolescentes chegaram ao ponto de criar sua própria “máquina de venda automática” portátil – um pequeno dispositivo de mesa com tela sensível ao toque e sensor de cartão RFID – que pode adicionar qualquer valor que desejarem a um CharlieCard ou alterar suas configurações, e eles criaram a mesma funcionalidade em um aplicativo Android que pode adicionar crédito com um toque. Eles demonstram os dois truques no vídeo abaixo:

Em contraste com a explosão de hackers no metrô da Defcon em 2008 – e em um sinal do quão longe as empresas e agências governamentais avançaram em seu relacionamento com a comunidade de segurança cibernética – os quatro hackers dizem que a MBTA não ameaçou processá-los ou tentar bloquear sua palestra Defcon. Em vez disso, convidou-os à sede da autoridade de trânsito no início deste ano para fazer uma apresentação sobre as vulnerabilidades que encontraram. Em seguida, a MBTA pediu educadamente que ocultassem parte de sua técnica para dificultar a replicação de outros hackers.

Os hackers dizem que a MBTA não corrigiu realmente as vulnerabilidades que descobriram e, em vez disso, parece estar esperando por um sistema de cartão de metrô totalmente novo que planeja lançar em 2025. Quando a WIRED entrou em contato com a MBTA, seu diretor de comunicações, Joe Pesaturo respondeu em comunicado que “a MBTA ficou satisfeita com o fato de os alunos terem contactado e trabalhado em colaboração com a equipe de cobrança de tarifas”.

“Deve-se observar que a vulnerabilidade identificada pelos alunos NÃO representa um risco iminente que afete a segurança, interrupção do sistema ou violação de dados”, acrescentou Pesaturo. “A equipe de detecção de fraudes da MBTA aumentou o monitoramento para dar conta dessa vulnerabilidade [e] não prevê nenhum impacto financeiro significativo para a MBTA. Esta vulnerabilidade não existirá quando o novo sistema de cobrança de tarifas entrar em operação, devido ao fato de que será um sistema baseado em conta, em vez do sistema atual baseado em cartão.”