Aproximadamente 15 anos depois de um escândalo na conferência de hackers Defcon, em Las Vegas, onde estudantes do MIT revelaram uma técnica para viajar de graça no metrô de Boston, quatro adolescentes mostraram que ainda é possível explorar o sistema.
Em 2008, o método envolvia a alteração dos cartões de papel magstripe do Charle Ticket.
Embora esses cartões tenham sido descontinuados em 2021, a equipe de jovens hackers descobriu como enganar o novo sistema.
Conforme relatado pela Wired, Matty Harris e Zachary Bertocchi, ambos com 17 anos e estudantes da Escola Técnica Vocacional de Medford, em Boston, juntamente com seus amigos Noah Gibson e Scott Campbell, passaram dois anos trabalhando na pesquisa.
Eles não apenas replicaram os truques de 2008, como também conseguiram reverter completamente a engenharia do CharlieCard, os cartões inteligentes RFID sem contato usados atualmente pela MBTA.
Essa capacidade permite que eles adicionem qualquer valor ao cartão ou o modifiquem para designações como estudante, idoso ou até mesmo um cartão de funcionário da MBTA, que oferece viagens ilimitadas gratuitas.
Para demonstrar sua conquista, o grupo criou uma “máquina de venda” portátil e um aplicativo Android que podem adicionar créditos aos cartões CharlieCard.
Desta vez, ninguém foi processado e jovens são “agradecidos” por hack.
No entanto, ao contrário da reação do MBTA em 2008, a autoridade de trânsito não ameaçou os jovens hackers.
Em vez disso, convidou-os a apresentar suas descobertas e pediu que escondessem parte de sua técnica para evitar replicação por outros hackers.
Segundo o diretor de comunicações da MBTA, Joe Pesaturo, a vulnerabilidade não representa um risco iminente de segurança, e a agência espera substituir o sistema atual por um novo em 2025.
Em geral, o hack ajudou a MBTA e os jovens até receberam agradecimentos pelo alerta.
Harris mencionou que, apesar de estarem satisfeitos por não terem enfrentado a censura que a MBTA tentou aplicar 15 anos atrás, a ação da MBTA em 2008 foi fundamental para chamar sua atenção e iniciar a pesquisa do grupo quase uma década e meia depois.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...