Language
10대들이 보스턴 지하철의 CharlieCard를 해킹하여 무제한 무료 탑승권을 얻었으나 이번에는 아무도 고소를 당하지 않았습니다.
홈페이지홈페이지 > 블로그 > 10대들이 보스턴 지하철의 CharlieCard를 해킹하여 무제한 무료 탑승권을 얻었으나 이번에는 아무도 고소를 당하지 않았습니다.
최근 뉴스

10대들이 보스턴 지하철의 CharlieCard를 해킹하여 무제한 무료 탑승권을 얻었으나 이번에는 아무도 고소를 당하지 않았습니다.

Jul 17, 2023

앤디 그린버그

거의 정확히 15년 전인 2008년 8월 초, 라스베이거스에서 열린 데프콘 해커 컨퍼런스는 역사상 최악의 스캔들 중 하나를 맞았습니다. MIT 학생 그룹이 보스턴 지하철 시스템(매사추세츠만 교통국)을 무료로 이용할 수 있는 방법에 대해 회의에서 발표하기 직전에 MBTA는 그들을 고소하고 금지 명령을 받았습니다. 말하기에서. 강연은 취소되었지만 해커의 슬라이드가 컨퍼런스 참석자들에게 널리 배포되고 온라인에 게시되기 전에는 취소되지 않았습니다.

2021년 여름, 15세 Matty Harris와 Zachary Bertocchi가 보스턴 지하철을 타고 있을 때 Harris는 Bertocchi에게 해커 역사상 이 순간을 언급한 Wikipedia 기사를 읽은 적이 있다고 말했습니다. 보스턴의 메드포드 직업 기술 고등학교(Medford Vocational Technical High School)에 재학 중인 두 십대는 MIT 해커의 작업을 복제할 수 있는지, 심지어 지하철을 무료로 탈 수 있을지 고민하기 시작했습니다.

그들은 그것이 불가능하다고 생각했습니다. Harris는 “10년도 더 전의 일이고 대중의 관심이 쏠렸기 때문에 우리는 이를 고쳤을 것이라고 생각했습니다.”라고 말합니다.

Bertocchi는 이야기의 끝 부분으로 건너뜁니다. "그들은 그렇지 않았습니다."

응오펜 음푸투벨레

앤디 그린버그

안젤라 워터커터

맥스 G. 레비

이제 2년의 작업 끝에 두 명의 십대와 동료 해커 친구인 Noah Gibson과 Scott Campbell이 라스베거스에서 열린 Defcon 해커 컨퍼런스에서 연구 결과를 발표했습니다. 실제로 그들은 MIT 해커들의 2008년 수법을 복제했을 뿐만 아니라 한 단계 더 발전시켰습니다. 2008년 팀은 보스턴의 Charle Ticket 자기 띠 종이 카드를 해킹하여 복사하고 값을 변경하고 무료 승차권을 얻었습니다. 그러나 해당 카드는 2021년에 작동이 중단되었습니다. 그래서 4명의 십대는 2008년 해커 팀이 수행한 다른 연구를 완전히 반전시키기 위해 확장했습니다. 현재 MBTA에서 사용하는 RFID 터치리스 스마트 카드인 CharlieCard를 설계합니다. 이제 해커는 이러한 카드 중 하나에 원하는 금액을 추가하거나 할인 학생 카드, 노인 카드 또는 무제한 무료 승차를 제공하는 MBTA 직원 카드로 눈에 보이지 않게 지정할 수 있습니다. Campbell은 “당신이 이름만 말하면 우리는 해낼 수 있습니다.”라고 말합니다.

자신의 작업을 시연하기 위해 십대들은 터치스크린과 RFID 카드 센서가 있는 작은 데스크톱 장치인 휴대용 "자동 판매기"를 만들기까지 했습니다. 이 자동 판매기는 선택한 값을 CharlieCard에 추가하거나 설정을 변경할 수 있습니다. 탭 한 번으로 크레딧을 추가할 수 있는 동일한 기능을 Android 앱에 내장했습니다. 아래 비디오에서 두 가지 트릭을 모두 보여줍니다.

2008년 데프콘(Defcon) 지하철 해킹 사건과 대조적으로(그리고 기업과 정부 기관이 사이버 보안 커뮤니티와 얼마나 관계를 맺고 있는지를 보여주는 신호로) 4명의 해커는 MBTA가 자신들을 고소하겠다고 위협하거나 막으려 하지 않았다고 말했습니다. 데프콘 이야기. 대신, 올해 초 교통 당국 본부로 그들을 초대하여 그들이 발견한 취약점에 대한 프레젠테이션을 전달했습니다. 그런 다음 MBTA는 다른 해커가 복제하기 어렵게 만들기 위해 기술의 일부를 모호하게 해달라고 정중하게 요청했습니다.

해커들은 MBTA가 자신들이 발견한 취약점을 실제로 수정하지 않았으며 대신 2025년에 출시할 완전히 새로운 지하철 카드 시스템을 기다리고 있는 것으로 보인다고 말합니다. WIRED가 MBTA의 커뮤니케이션 이사인 Joe에게 연락했을 때, Pesaturo는 성명을 통해 "MBTA는 학생들이 요금 징수 팀과 협력하여 협력한 것을 기쁘게 생각합니다"라고 답했습니다.

Pesaturo는 “학생들이 확인한 취약성은 안전, 시스템 중단 또는 데이터 침해에 영향을 미치는 즉각적인 위험을 초래하지 않는다는 점에 유의해야 합니다.”라고 덧붙였습니다. “MBTA의 사기 탐지 팀은 이 취약점을 설명하기 위해 모니터링을 강화했으며 [] MBTA에 심각한 재정적 영향을 미칠 것으로 예상하지 않습니다. 현재의 카드 기반 시스템과 달리 계정 기반 시스템이 될 것이기 때문에 새로운 요금 징수 시스템이 가동되면 이 취약점은 존재하지 않을 것입니다.”