Language
Alcuni adolescenti hanno violato la CharlieCard della metropolitana di Boston per ottenere infinite corse gratuite e questa volta nessuno è stato denunciato
CasaCasa > Blog > Alcuni adolescenti hanno violato la CharlieCard della metropolitana di Boston per ottenere infinite corse gratuite e questa volta nessuno è stato denunciato
ULTIME NOTIZIE

Alcuni adolescenti hanno violato la CharlieCard della metropolitana di Boston per ottenere infinite corse gratuite e questa volta nessuno è stato denunciato

Jul 31, 2023

Andy Greenberg

All'inizio di agosto del 2008, quasi esattamente 15 anni fa, la conferenza degli hacker Defcon a Las Vegas fu colpita da uno dei peggiori scandali della sua storia. Poco prima che un gruppo di studenti del MIT pianificassero di tenere una conferenza alla conferenza su un metodo che avevano trovato per ottenere corse gratuite sulla metropolitana di Boston, noto come Massachusetts Bay Transit Authority, l'MBTA li fece causa e ottenne un ordine restrittivo per impedire impedirgli di parlare. Il discorso è stato annullato, ma non prima che le diapositive degli hacker fossero state ampiamente distribuite ai partecipanti alla conferenza e pubblicate online.

Nell'estate del 2021, i quindicenni Matty Harris e Zachary Bertocchi stavano viaggiando sulla metropolitana di Boston quando Harris raccontò a Bertocchi di un articolo di Wikipedia che aveva letto e che menzionava questo momento nella storia degli hacker. I due adolescenti, entrambi studenti della Medford Vocational Technical High School di Boston, hanno iniziato a riflettere sulla possibilità di replicare il lavoro degli hacker del MIT e magari anche ottenere viaggi gratuiti in metropolitana.

Pensavano che dovesse essere impossibile. "Abbiamo pensato che, poiché era successo più di un decennio prima e aveva ricevuto una forte pubblicità, avrebbero risolto il problema", afferma Harris.

Bertocchi salta alla fine della storia: “Non l'hanno fatto”.

Angela Tagliaacqua

Giuliano Chokkattu

Lexi Pandell

Will Cavaliere

Ora, dopo due anni di lavoro, quella coppia di adolescenti e due amici hacker, Noah Gibson e Scott Campbell, hanno presentato i risultati della loro ricerca alla conferenza hacker Defcon di Las Vegas. In effetti, non solo hanno replicato i trucchi degli hacker del MIT del 2008, ma hanno fatto un ulteriore passo avanti. Il team del 2008 aveva violato le carte di carta magnetica Charle Ticket di Boston per copiarle, modificarne il valore e ottenere corse gratuite, ma quelle carte sono andate fuori servizio nel 2021. Quindi i quattro ragazzi hanno esteso altre ricerche effettuate dal team di hacker del 2008 per invertire completamente progettare la CharlieCard, le smart card RFID touchless utilizzate oggi da MBTA. Gli hacker possono ora aggiungere qualsiasi somma di denaro a una di queste carte o designarla in modo invisibile come una carta studentesca scontata, una carta senior o persino una carta dipendente MBTA che offre corse gratuite illimitate. "Lo dici, possiamo farcela", afferma Campbell.

Per dimostrare il loro lavoro, i ragazzi sono arrivati ​​al punto di creare il proprio “distributore automatico” portatile – un piccolo dispositivo desktop con un touchscreen e un sensore per carte RFID – che può aggiungere qualsiasi valore scelgano a una CharlieCard o modificarne le impostazioni, e hanno integrato la stessa funzionalità in un'app Android che può aggiungere credito con un tocco. Dimostrano entrambi i trucchi nel video qui sotto:

In contrasto con l’esplosione dell’hacking della metropolitana di Defcon nel 2008 – e a testimonianza di quanto lontano siano arrivate le aziende e le agenzie governative nel loro rapporto con la comunità della sicurezza informatica – i quattro hacker affermano che l’MBTA non ha minacciato di denunciarli o tentare di bloccare il loro discorso su Defcon. Invece, all’inizio di quest’anno li ha invitati presso la sede dell’autorità di trasporto pubblico per tenere una presentazione sulle vulnerabilità che avevano riscontrato. Quindi l'MBTA ha gentilmente chiesto di oscurare parte della loro tecnica per renderla più difficile da replicare per altri hacker.

Gli hacker affermano che l'MBTA non ha effettivamente risolto le vulnerabilità scoperte e sembra invece essere in attesa di un sistema di carte della metropolitana completamente nuovo che prevede di implementare nel 2025. Quando WIRED ha contattato l'MBTA, il suo direttore delle comunicazioni, Joe Pesaturo, ha risposto in una dichiarazione che "l'MBTA è stato lieto che gli studenti abbiano contattato e lavorato in collaborazione con il team di riscossione dei biglietti".

“Va notato che la vulnerabilità identificata dagli studenti NON rappresenta un rischio imminente per la sicurezza, l’interruzione del sistema o una violazione dei dati”, ha aggiunto Pesaturo. “Il team di rilevamento delle frodi dell'MBTA ha aumentato il monitoraggio per tenere conto di questa vulnerabilità [e] non prevede alcun impatto finanziario significativo per l'MBTA. Questa vulnerabilità non esisterà una volta che il nuovo sistema di riscossione dei biglietti sarà operativo, poiché sarà un sistema basato su account rispetto all’attuale sistema basato su carte”.