Der Anfang dieser Geschichte geht auf das Jahr 2008 zurück. Damals wollten MIT-Studierende in einem öffentlichen Referat erzählen, wie es ihnen gelang, das Ticketsystem der Bostoner U-Bahn auszuhebeln. Der Betreibergesellschaft, Massachusetts Bay Transit Authority, gefiel das nicht und sie liess den Auftritt verbieten. Blöd nur, dass die Folien zuvor schon im Internet landeten. So berichtet es jedenfalls das US-Magazin 'Wired'.

Gut 15 Jahre später haben amerikanische Jugendliche über den Vorfall gelesen und sich gefragt, ob sie sich nicht auch Freifahrten erschleichen könnten. So richtig glaubten sie nicht daran, denn: Die Schwachstelle von anno dazumal würde doch in der Zwischenzeit sicher längst behoben worden sein. Aber weit gefehlt: Es funktionierte immer noch. Sie konnten die NFC-Karte nachbauen und ein beliebiges Guthaben aufladen.

Doch statt die Schwachstelle aktiv auszunutzen, meldeten sie diese dem Betreiber. Dieser lud die Jungmannschaft ein und liess sich das Vorgehen erklären. Zusätzlich haben die Teenager ihre Methodik auf der Hackerkonferenz Defcon in Las Vegas gezeigt – ironischerweise dieselbe Konferenz, an der 2008 auch die MIT-Studis hätten sprechen wollen.

Die Massachusetts Bay Transit Authority hat zwar die Sicherheitslücke nicht geschlossen, aber immerhin ihren Umgang mit freundlich gesinnten Hackern verbessert. Schon 2025 soll das Vorgehen ohnehin nicht mehr nachgeahmt werden können. Dann soll ein komplett neues (und hoffentlich sichereres) U-Bahn-Ticketsystem eingeführt werden.