Ağustos başında 2008’de, neredeyse tam 15 yıl önce, Las Vegas’taki Defcon hacker konferansı tarihinin en kötü skandallarından biriyle sarsıldı. Bir grup MIT öğrencisi, Boston’un metro sisteminde ücretsiz yolculuklar elde etmek için buldukları bir yöntem hakkında konferansta bir konuşma yapmayı planlamadan hemen önce -Massachusetts Körfez Transit Otoritesi olarak bilinirler- MBTA onlara dava açtı ve bir yasaklama emri aldı. onları konuşmaktan Konuşma iptal edildi, ancak bilgisayar korsanlarının slaytları konferans katılımcılarına geniş çapta dağıtılıp çevrimiçi olarak yayınlandıktan önce değil.
2021 yazında, 15 yaşındaki Matty Harris ve Zachary Bertocchi, Boston metrosuna binerken Harris, Bertocchi’ye hacker tarihindeki bu andan bahseden okuduğu bir Wikipedia makalesinden bahsetti. Her ikisi de Boston’daki Medford Mesleki Teknik Lisesi’nde öğrenci olan iki genç, MIT bilgisayar korsanlarının çalışmalarını taklit edip edemeyecekleri ve hatta belki de bedava metro yolculukları yapıp yapamayacakları konusunda düşünmeye başladılar.
Bunun imkansız olması gerektiğini düşündüler. Harris, “Bunu on yıldan daha uzun bir süre önce olduğu ve reklamı yoğun olduğu için düzelteceklerini varsaydık” diyor.
Bertocchi hikayenin sonuna atlıyor: “Yapmadılar.”
Şimdi, iki yıllık çalışmanın ardından, o genç çift ve iki hacker arkadaşı, Noah Gibson ve Scott Campbell, araştırmalarının sonuçlarını Las Vegas’taki Defcon hacker konferansında sundular. Aslında, MIT bilgisayar korsanlarının 2008 numaralarını kopyalamakla kalmadılar, onları bir adım daha ileri götürdüler. 2008 ekibi, Boston’daki Charle Ticket uzun şeritli kağıt kartlarını kopyalamak, değerlerini değiştirmek ve bedava yolculuk hakkı kazanmak için hacklemişti; ancak bu kartlar 2021’de kullanım dışı kaldı. Böylece dört genç, 2008 hacker ekibi tarafından yapılan diğer araştırmayı tamamen tersine çevirmek için genişletti MBTA’nın bugün kullandığı RFID temassız akıllı kartlar olan CharlieCard’ı tasarlayın. Bilgisayar korsanları artık bu kartlardan birine herhangi bir miktarda para ekleyebilir veya bunu görünmez bir şekilde indirimli bir öğrenci kartı, bir üst düzey kartı veya hatta sınırsız ücretsiz kullanım sağlayan bir MBTA çalışan kartı olarak belirleyebilir. Campbell, “Siz söyleyin, başarabiliriz” diyor.
Çalışmalarını göstermek için gençler, bir CharlieCard’a istedikleri değeri ekleyebilen veya ayarlarını değiştirebilen dokunmatik ekranlı ve RFID kart sensörlü küçük bir masaüstü cihazı olan kendi taşınabilir “otomat makinelerini” yaratacak kadar ileri gittiler ve aynı işlevselliği, bir dokunuşla kredi ekleyebilen bir Android uygulamasında oluşturdular. Aşağıdaki videoda her iki numarayı da gösteriyorlar:
2008’deki Defcon metro korsanlığı patlamasının aksine – ve şirketlerin ve devlet kurumlarının siber güvenlik topluluğuyla ilişkilerinde ne kadar ilerlediğinin bir işareti olarak – dört bilgisayar korsanı, MBTA’nın onları dava etmekle veya engellemeye çalışmakla tehdit etmediğini söylüyor. Defcon konuşmaları. Bunun yerine, geçen yıl onları buldukları güvenlik açıkları hakkında bir sunum yapmaları için transit otorite genel merkezine davet etti. Ardından MBTA, diğer bilgisayar korsanlarının kopyalamasını zorlaştırmak için tekniklerinin bir kısmını gizlemelerini kibarca istedi.
Bilgisayar korsanları, MBTA’nın keşfettikleri güvenlik açıklarını gerçekten düzeltmediğini ve bunun yerine 2025’te piyasaya sürmeyi planladığı tamamen yeni bir metro kartı sistemini bekliyor olabileceğini söylüyor. WIRED, bilgisayar korsanlarının sunumundan önce MBTA’ya ulaştı ancak bunu yapmadı. Bir yanıt aldı.