Они усовершенствовали уязвимость 15ти летней давности.
В августе 2021 года четверо старшеклассников из Бостона воспроизвели уязвимость системы оплаты проезда в метро города, обнаруженную студентами Массачусетского технологического института (MIT) еще в 2008 году. Подростки не только воспроизвели старый метод, но и разработали новый для текущей системы CharlieCard, используя которую можно бесплатно пользоваться метро.
Мэтти Харрис и Закари Бертокки узнали об уязвимости в 2008 году и решили проверить, была ли она устранена. «Мы предполагали, что она должна быть устранена, учитывая, что прошло более десяти лет, и она получила большую огласку», - говорит Харрис. Оказалось, что уязвимость так и осталась.
Подростки два года работали над взломом вместе с двумя друзьями-хакерами и представили свои исследования на хакерской конференции Defcon в Лас-Вегасе. Они создали портативный «торговый автомат» и мобильное приложение для Android, которые могут добавлять любую сумму на CharlieCard или изменять настройки карты.
В отличие от 2008 года, власти Бостона не подали в суд, а пригласили школьников в штаб-квартиру транспортного ведомства, где те рассказали о найденных уязвимостях. Джо Песатуро, директор по связям с общественностью властей города, заявил, что уязвимость не представляет немедленной угрозы и будет устранена с внедрением новой системы оплаты в 2025 году.
Подростки заявили, что на текущий момент транспортное ведомство пытается противостоять их методу, обнаруживая и блокируя измененные карты, но большая часть таких карт все равно проходит. Ответ на вопрос, используют ли они свою технику для бесплатного перемещения по метро Бостона, они оставили без комментариев.
Никаких овечек — только отборные научные факты