Đầu tháng Tám năm 2008, gần như chính xác là 15 năm trước, hội nghị hacker Defcon tại Las Vegas đã chứng kiến một trong những vụ bê bối tồi tệ nhất trong lịch sử của nó. Ngay trước khi một nhóm sinh viên MIT dự định trình bày tại hội nghị về phương pháp họ đã tìm ra để có được chuyến đi miễn phí trên hệ thống tàu điện ngầm Boston—được biết đến là Cơ quan Giao thông Vận tải Vịnh Massachusetts—MBTA kiện họ và đạt được một lệnh ngăn chặn để ngăn họ nói chuyện. Buổi nói chuyện đã bị hủy bỏ, nhưng không trước khi các slides của những hacker này được phổ biến rộng rãi cho người tham dự hội nghị và được đăng trực tuyến.
Trong mùa hè năm 2021, Matty Harris và Zachary Bertocchi, cả hai đều 15 tuổi, đang đi tàu điện ngầm Boston khi Harris kể cho Bertocchi về một bài viết trên Wikipedia nói về khoảnh khắc này trong lịch sử hacker. Hai thanh thiếu niên, cả hai là học sinh tại Trường Trung học Nghề Medford ở Boston, bắt đầu mơ đến việc họ có thể mô phỏng công việc của những hacker MIT, và có thể thậm chí có được chuyến đi tàu điện ngầm miễn phí.
Họ nghĩ rằng điều đó phải là không thể. “Chúng tôi giả định rằng vì đó là hơn một thập kỷ trước đó, và nó đã nhận được sự chú ý lớn, nên họ đã sửa chữa nó,” Harris nói.
Bertocchi nhảy đến cuối câu chuyện: 'Họ không làm như vậy.'
Bây giờ, sau hai năm làm việc, cặp thanh thiếu niên đó và hai người bạn hacker, Noah Gibson và Scott Campbell, đã trình bày kết quả nghiên cứu của họ tại hội nghị hacker Defcon tại Las Vegas. Thực tế, họ không chỉ mô phỏng lại những thủ thuật của nhóm hacker MIT năm 2008, mà còn đưa chúng một bước xa hơn. Nhóm năm 2008 đã hack thẻ giấy magstripe Charle Ticket của Boston để sao chép chúng, thay đổi giá trị và có chuyến đi miễn phí—nhưng những thẻ đó đã ngừng sử dụng từ năm 2021. Vì vậy, bốn thanh thiếu niên đã mở rộng nghiên cứu khác của nhóm hacker năm 2008 để hoàn toàn đảo ngược kỹ thuật của CharlieCard, những thẻ thông minh không tiếp xúc RFID mà MBTA đang sử dụng ngày nay. Bây giờ, những hacker có thể thêm bất kỳ số tiền nào vào một trong những thẻ này hoặc ẩn nó điều đặt là một thẻ sinh viên giảm giá, một thẻ người cao tuổi hoặc thậm chí là một thẻ nhân viên MBTA mang lại chuyến đi miễn phí không giới hạn. “Bạn đặt tên nó, chúng tôi có thể tạo ra,” Campbell nói.
Để chứng minh công việc của họ, nhóm thanh thiếu niên đã điều đến mức tạo ra một 'máy bán hàng tự động' di động của riêng họ—một thiết bị máy tính để bàn nhỏ với màn hình cảm ứng và cảm biến thẻ RFID—có thể thêm bất kỳ giá trị nào họ chọn vào một CharlieCard hoặc thay đổi cài đặt của nó, và họ đã tích hợp cùng chức năng vào một ứng dụng Android có thể thêm tín dụng chỉ với một lần chạm. Họ thể hiện cả hai thủ thuật này trong video dưới đây:
Ngược lại với vụ nổ tàu điện ngầm Defcon năm 2008—và là dấu hiệu cho thấy mối quan hệ giữa các công ty và cơ quan chính phủ đã đi xa đến đâu trong mối quan hệ với cộng đồng an ninh mạng—bốn hacker nói rằng MBTA không đe doạ kiện họ hoặc cố gắng ngăn chặn buổi nói chuyện của họ tại Defcon. Thay vào đó, nó mời họ đến trụ sở cơ quan giao thông vào đầu năm nay để thuyết trình về những lỗ hổng họ đã tìm thấy. Sau đó, MBTA lịch sự yêu cầu họ làm mờ một phần của kỹ thuật của họ để làm cho nó khó hơn cho những hacker khác sao chép.
Các hacker cho biết MBTA thực sự chưa sửa những lỗ hổng mà họ phát hiện và thay vào đó dường như đang chờ đợi một hệ thống thẻ tàu điện ngầm hoàn toàn mới mà họ dự định triển khai vào năm 2025. Khi MINPRICE liên hệ với MBTA, Giám đốc Truyền thông của nó, Joe Pesaturo, đã trả lời trong một tuyên bố rằng “MBTA rất vui mừng khi sinh viên liên lạc và làm việc chung với đội ngũ thu phí.”
“Cần lưu ý rằng lỗ hổng được xác định bởi sinh viên KHÔNG đặt ra nguy cơ cấp bách ảnh hưởng đến an toàn, sự cố hệ thống hoặc sự vi phạm dữ liệu,” Pesaturo thêm. “Đội ngũ phát hiện gian lận của MBTA đã tăng cường giám sát để đối phó với lỗ hổng này [và] không dự đoán bất kỳ tác động tài chính đáng kể nào đối với MBTA. Lỗ hổng này sẽ không tồn tại khi hệ thống thu phí mới được triển khai, vì nó sẽ là một hệ thống dựa trên tài khoản thay vì hệ thống hiện tại dựa trên thẻ.”
Những học sinh trung học nói rằng khi họ bắt đầu nghiên cứu của họ vào năm 2021, họ chỉ đang cố mô phỏng nghiên cứu hack CharlieTicket của nhóm năm 2008. Nhưng khi MBTA loại bỏ những thẻ magstripe đó chỉ vài tháng sau đó, họ muốn hiểu rõ cách hoạt động bên trong của CharlieCards. Sau nhiều tháng thử nghiệm và lỗi với các đầu đọc RFID khác nhau, họ cuối cùng đã có thể dump nội dung dữ liệu trên các thẻ và bắt đầu giải mã chúng.
Khác với thẻ tín dụng hoặc thẻ ghi nợ, số dư của chúng được theo dõi trong các cơ sở dữ liệu bên ngoài thay vì trên chính thẻ, CharlieCards thực sự lưu trữ khoảng một kilobyte dữ liệu trong bộ nhớ riêng của chúng, bao gồm giá trị tiền. Để ngăn chặn giá trị đó từ việc thay đổi, mỗi dòng dữ liệu trong bộ nhớ của thẻ bao gồm một “checksum,” một chuỗi ký tự được tính từ giá trị sử dụng thuật toán không được tiết lộ của MBTA.
Bằng cách so sánh các dòng bộ nhớ giống nhau trên các thẻ khác nhau và xem xét giá trị checksum của chúng, nhóm hacker bắt đầu tìm hiểu cách hàm checksum hoạt động. Cuối cùng, họ có thể tính toán checksums cho phép họ thay đổi giá trị tiền trên thẻ, cùng với checksum sẽ khiến cho đầu đọc CharlieCard chấp nhận nó là hợp lệ. Họ tính toán một danh sách dài của checksum cho mọi giá trị để họ có thể thay đổi tùy ý số dư của thẻ thành bất kỳ số tiền nào họ chọn. Theo yêu cầu của MBTA, họ không công bố bảng đó, cũng như chi tiết về công việc đảo ngược checksum của họ.
Không lâu sau khi họ đạt được đột phá này, vào tháng 12 năm ngoái, nhóm thanh thiếu niên đọc trên Boston Globe về một hacker khác, một cựu sinh viên MIT và người kiểm thử xâm nhập tên là Bobby Rauch, người đã tìm ra cách nhân bản CharlieCards bằng cách sử dụng điện thoại Android hoặc thiết bị radio hacking cầm tay Flipper Zero. Với kỹ thuật đó, Rauch nói rằng anh có thể đơn giản sao chép một CharlieCard trước khi tiêu giá trị của nó, hiệu quả như việc có được chuyến đi miễn phí không giới hạn. Tuy nhiên, khi anh ta thử nghiệm kỹ thuật cho MBTA, họ tuyên bố rằng họ có thể phát hiện ra các thẻ nhân bản khi chúng được sử dụng và vô hiệu hóa chúng.
Đầu năm nay, bốn thanh thiếu niên đã chỉ cho Rauch các kỹ thuật của họ, vượt xa việc nhân bản để bao gồm các thay đổi tỉ mỉ đến dữ liệu trên thẻ. Hacker già này đã ấn tượng và đề nghị giúp họ báo cáo những phát hiện của họ cho MBTA—mà không sợ bị kiện.
Trong quá trình làm việc với Rauch, MBTA đã tạo ra một chương trình tiết lộ lỗ hổng để hợp tác với những hacker thân thiện đồng ý chia sẻ những lỗ hổng an ninh mạng mà họ tìm thấy. Các thanh thiếu niên nói rằng họ đã được mời đến một cuộc họp tại MBTA có ít nhất 12 nhà quản lý của cơ quan, tất cả đều có vẻ biết ơn sự sẵn lòng của họ để chia sẻ những phát hiện của mình. Các quan chức MBTA yêu cầu học sinh trung học không tiết lộ phát hiện của họ trong vòng 90 ngày và giữ thông tin chi tiết về kỹ thuật hack checksum của họ một bí mật, nhưng nói chung họ đồng ý rằng họ sẽ không can thiệp vào bất kỳ bài thuyết trình nào về kết quả của họ. Bốn thanh thiếu niên nói rằng họ thấy Scott Margolis, giám đốc an ninh thông tin chính của MBTA, đặc biệt dễ làm việc. 'Người tuyệt vời,' Bertocchi nói.
Nhóm thanh thiếu niên nói rằng giống như kỹ thuật nhân bản của Rauch, cơ quan giao thông dường như đang cố gắng chống lại kỹ thuật của họ bằng cách phát hiện thẻ đã được thay đổi và chặn chúng. Nhưng họ nói rằng chỉ có một phần nhỏ của các thẻ mà họ đã thêm tiền đã bị phát hiện. “Các biện pháp họ có thì thực sự không phải là một biện pháp lấp đóng lỗ hổng. Thay vào đó, họ chơi trò đánh bại mèo với các thẻ khi chúng xuất hiện,” Campbell nói.
“Chúng tôi đã có một số thẻ của mình bị vô hiệu hóa, nhưng hầu hết vẫn qua được,” Harris thêm.
Vậy cả bốn người họ có đang sử dụng kỹ thuật hack CharlieCard của họ để lang thang trên hệ thống tàu điện ngầm Boston miễn phí không? “Không bình luận.”
Hiện tại, nhóm hacker chỉ là vui mừng vì đã có thể thuyết trình mà không bị kiểm duyệt nặng nề như MBTA đã thử với vụ kiện của mình 15 năm trước. Harris cho rằng MBTA có lẽ đã học bài học từ cách tiếp cận đó, chỉ làm nổi bật những phát hiện của hacker. “Rất tuyệt vời khi họ không làm vậy bây giờ—họ không tự làm tổn thương mình. Và điều đó làm giảm áp lực đáng kể cho mọi người,” Harris nói.
Ngược lại, anh ta cũng vui mừng vì MBTA đã áp dụng một cách tiếp cận nặng nề đối với buổi thảo luận năm 2008 mà nó đã thu hút sự chú ý của anh và khởi động nghiên cứu của nhóm gần một thập kỷ và một nửa sau đó. “Nếu họ không làm vậy,” Harris nói, “chúng tôi không ở đây.”
Cập nhật 5 giờ chiều, ngày 10 tháng 8 năm 2023: Thêm một tuyên bố từ người phát ngôn MBTA. Cập nhật 11:25 sáng, ngày 11 tháng 8 năm 2023: Klar hóa khi cuộc họp giữa thanh thiếu niên và MBTA diễn ra.