Nastolatkowie zhakowali metro i jeżdżą nim teraz za darmo
Sprawa jest kontynuacją wydarzeń z 2008 roku, kiedy to grupa studentów MIT miała się pochwalić, jakim cudem zhakowała metro w Bostonie. Niestety mężczyźni wówczas zostali pozwani, ale pewna grupa śmiałków postanowiła pójść za ciosem i kontynuować ich spuściznę.
Prawie 15 lat temu podczas konferencji hakerskiej Defcon w Las Vegas doszło do pewnego skandalu. Na kilkanaście godzin przed planowanym panelem grupy studentów z Massachusetts Institute of Technology na temat hakowania bostońskiego metra i załatwiania sobie darmowych przejazdów, tamtejszy zarząd publicznego transportu Massachusetts Bay Transit Authority pozwał młodych mężczyzn. MBTA zablokowało również panel grupki.
Ten w końcu się nie odbył, ale slajdy i plany prezentacji studentów MIT zostały upublicznione wśród uczestników konferencji, a później trafiły również do internetu.
Lata mijały, aż w końcu w 2021 roku 15-letni Matty Harris i Zachary Bertocchi jechali bostońskim metrem, kiedy nagle Harris opowiedział kumplowi, że czytał kiedyś o opisywanej sytuacji na Wikipedii. Zaintrygowani nastolatkowie uczęszczający do Medford Vocational Technical High School w Bostonie zaczęli się zastanawiać, czy udałoby się im odtworzyć ten patent studentów MIT i znaleźć sposób na darmowe przejazdy metrem.
W rozmowie z Wired Matty Harris powiedział, że założyli początkowo, że będzie to niemożliwe:
Założyliśmy, że to naprawili. W końcu cała sytuacja miała miejsce ponad 10 lat temu i było o niej bardzo głośno.
Bertocchi szybko zaspoilerował koniec opowieści:
Nie naprawili.
Oszukali metro. Nastoletni hakerzy znaleźli sposób na darmowe przejazdy
Teraz po 2 latach pracy duet nastolatków i ich współpracownicy Noah Gibson i Scott Campbell przedstawili swoje znaleziska podczas… konferencji hakerów Defcon w Las Vegas. Chłopaki poszli jednak o krok dalej – nie tylko stworzyli replikę programu studentów MIT z 2008 roku, ale ze względu na rozwój technologii, musieli go uwspółcześnić. Teraz hakerzy mogą zmienić bilans pieniężny na kartach, a także zmienić w systemie ich rodzaj (np. dodać ulgi studenckie, czy nawet podać się za pracownika MBTA, co daje darmowe przejazdy). „Możemy zrobić co tylko chcecie” – chwalił się Campbell.
Nastolatkowie stworzyli nawet swój własny przenośny „biletomat” – małe urządzenie z ekranem dotykowym i czytnikiem kart RFID – dzięki niemu mogą skanować fizyczne bilety i zmieniać ich wartość w systemie. Ten jest zaś połączony z aplikacją na Androidzie, gdzie również mogą sobie dodawać darmowe przejazdy za kliknięciem przycisku. Sprytne.
I w przeciwieństwie do studenciaków z MIT, czwórka nastoletnich hakerów wyjawiła, że do tej pory MBTA nie groziła im pozwami, ani nie próbowała nawet zablokować ich panelu na Defconie. Mało tego – w 2022 roku zostali zaproszeni do siedziby urzędu, gdzie następnie prezentowali swoje znaleziska, sposoby i patenciki. Wówczas poproszono ich po prostu, żeby nie dzielili się wszystkimi szczegółami swoich dokonań i nie ułatwiali pracy innym hakerom – wiecie, metro musi na siebie jednak zarabiać.
Sami nastolatkowie również byli podekscytowani prospektem współpracy z MBTA i docenili znajomość z szefostwem firmy – szczególnie polubili szefa bezpieczeństwa informacji, Scotta Margolisa. „Fantastyczny gość” powiedział Bertocchi.
Z relacji hakerów wynika, że MBTA nie planuje nawet naprawiać tych nieścisłości – według nich firma wstrzymuje się do 2025 roku, kiedy to ma się pojawić nowy system odpowiedzialny za kontrolowanie przejazdów bostońskim metrem. Rzecznik MBTA w rozmowie z Wired pochwalił nawet nastolatków za ich postawę i aktywny udział w rozmowach na temat ich odkryć. Dodał też, że w gruncie rzeczy ich działanie nie jest jakimś ogromnym zagrożeniem:
Muszę jednak podkreślić, że ta nieścisłość odkryta przez uczniów nie niesie za sobą poważnego ryzyka, problemów z systemem, czy wycieku danych. Nasi inżynierowie czujnie monitorują sytuację i wygląda na to, że nie będzie to miało nawet dużego wpływu na finanse MBTA. Ta nieścisłość nie będzie też możliwa w naszym nowym systemie, który będzie bazował na indywidualnych kontach, a nie na ilości środków dostępnych na kartach.
Nastolatkowie podkreślili, że ich system nie jest w 100% skuteczny – część ich zhakowanych kart była wykrywana przez różne systemy bezpieczeństwa metra, ale „większość z nich przechodziła bez problemu”. Czy więc hakerzy korzystają z własnego programu do darmowego jeżdżenia metrem w Bostonie?
Bez komentarza.
Na ten moment nastolatkowie są po prostu zadowoleni, że mogli bez problemów przeprowadzić swój panel na Defconie, a MBTA nie planuje ich pozywać, w przeciwieństwie do sytuacji sprzed 15 lat. Matty Harris podsumował całą sytuację w rozmowie z Wired, mówiąc dziennikarzom:
Cieszę się, że już tego nie robią – że nie strzelają sobie w stopę. No i nasza sytuacja jest znacznie mniej stresująca dla wszystkich zaangażowanych.