.
No início de agosto de 2008, quase exatamente 15 anos atrás, a conferência de hackers Defcon em Las Vegas foi atingida por um dos piores escândalos de sua história. Pouco antes de um grupo de estudantes do MIT planejar dar uma palestra na conferência sobre um método que encontraram para conseguir caronas gratuitas no sistema de metrô de Boston – conhecido como Massachusetts Bay Transit Authority – a MBTA os processou e obteve uma ordem de restrição para impedir eles de falar. A palestra foi cancelada, mas não antes que os slides dos hackers fossem amplamente distribuídos aos participantes da conferência e publicados online.
No verão de 2021, Matty Harris e Zachary Bertocchi, de 15 anos, estavam no metrô de Boston quando Harris contou a Bertocchi sobre um artigo da Wikipedia que ele havia lido que mencionava esse momento na história dos hackers. Os dois adolescentes, ambos alunos da Medford Vocational Technical High School, em Boston, começaram a pensar se poderiam replicar o trabalho dos hackers do MIT e talvez até conseguir viagens gratuitas de metrô.
Eles imaginaram que tinha que ser impossível. “Presumimos que, como isso aconteceu mais de uma década antes e recebeu muita publicidade, eles teriam consertado”, diz Harris.
Bertocchi pula para o final da história: “Eles não fizeram”.
Agora, depois de dois anos de trabalho, essa dupla de adolescentes e dois amigos hackers, Noah Gibson e Scott Campbell, apresentaram os resultados de suas pesquisas na conferência de hackers Defcon em Las Vegas. Na verdade, eles não apenas replicaram os truques dos hackers do MIT em 2008, mas os levaram um passo adiante. A equipe de 2008 hackeou os cartões de papel de tarja magnética Charle Ticket de Boston para copiá-los, alterar seu valor e obter viagens gratuitas – mas esses cartões ficaram fora de serviço em 2021. Portanto, os quatro adolescentes estenderam outra pesquisa feita pela equipe de hackers de 2008 para reverter totalmente projetar o CharlieCard, os cartões inteligentes RFID sem toque que a MBTA usa hoje. Os hackers agora podem adicionar qualquer quantia em dinheiro a um desses cartões ou designá-lo invisivelmente como um cartão de estudante com desconto, um cartão sênior ou até mesmo um cartão de funcionário da MBTA que oferece viagens gratuitas ilimitadas. “Você escolhe, nós podemos fazer isso”, diz Campbell.
Para demonstrar seu trabalho, os adolescentes chegaram a criar sua própria “máquina de venda automática” portátil – um pequeno dispositivo de mesa com tela sensível ao toque e um sensor de cartão RFID – que pode agregar qualquer valor que eles escolherem a um CharlieCard ou alterar suas configurações e eles incorporaram a mesma funcionalidade em um aplicativo Android que pode adicionar crédito com um toque. Eles demonstram os dois truques no vídeo abaixo:
Em contraste com a invasão do metrô Defcon em 2008 – e em um sinal de quão longe as empresas e agências governamentais chegaram em seu relacionamento com a comunidade de segurança cibernética – os quatro hackers dizem que o MBTA não ameaçou processá-los ou tentar bloquear sua conversa sobre Defcon. Em vez disso, convidou-os para a sede da autoridade de trânsito no ano passado para fazer uma apresentação sobre as vulnerabilidades que encontraram. Em seguida, o MBTA pediu educadamente que ocultassem parte de sua técnica para dificultar a replicação de outros hackers.
Os hackers dizem que o MBTA não corrigiu as vulnerabilidades que descobriram e pode estar esperando por um sistema de cartão de metrô totalmente novo que planeja lançar em 2025. A Strong The One entrou em contato com o MBTA antes da apresentação dos hackers, mas não o fez. t recebeu uma resposta.
.
