O hack mais idiota do ano expôs um problema muito real

Na madrugada horas da noite de Abril passado, alguém parou em cerca de 20 cruzamentos de ruas em Silicon Valley e lançou um ataque cibernético sem precedentes que acabaria por se espalhar por vários estados, constrangendo as autoridades locais e levando-as a questionar as suas práticas de segurança. As autoridades suspeitam que o culpado desconhecido se aproveitou de uma inadimplência fraca e publicamente disponível senhas para fazer upload sem fio de gravações personalizadas que eram reproduzidas sempre que um pedestre pressionava um botão de faixa de pedestres.

Em vez das gravações normais dizendo às pessoas para esperarem ou atravessarem a rua, os pedestres ouviram as vozes falsificadas de CEOs de tecnologia bilionários. Um falso Mark Zuckerberg disse num cruzamento de Menlo Park que as pessoas não seriam capazes de impedir que a IA fosse inserida “à força” “em todas as facetas da sua experiência consciente”. Em outro, ele célebre “minando a democracia”. Em um cruzamento diferente, um Elon Musk alterado descrito O presidente Donald Trump era “realmente muito doce, terno e amoroso”, enquanto numa rua próxima a sua voz falsa lamentava estar “tão sozinho”.

E-mails e mensagens de texto do governo obtidos pela WIRED por meio de solicitações de registros públicos mostram como as cidades de Menlo Park, Redwood City, Palo Alto e, mais tarde, Seattle e Denver lutaram para responder à adulteração dos botões da faixa de pedestres. As comunicações, juntamente com entrevistas com especialistas em segurança e antigos funcionários do fabricante de botões, destacam como os governos e a empresa ignoraram as vulnerabilidades numa tecnologia generalizada.

Em Redwood City, a então administradora municipal Melissa Diaz questionou a equipe sobre quem deveria ser culpado pelo incidente. “Precisamos entender quem deve ser responsável pela segurança desses sistemas e o que podemos fazer para responsabilizar a equipe ou a parte externa responsável”, escreveu ela em um e-mail aos colegas nos dias seguintes ao hack.

Nick Mathiowdis, atual gerente de Redwood City, disse à WIRED que a equipe tem abordado o problema com base em “lições aprendidas e na evolução das melhores práticas”, mas se recusa a compartilhar detalhes para evitar encorajar novos hacks.

Edward Fok, um veterano oficial de segurança cibernética da Federal Highway Administration que investigou brevemente o hacking antes de se aposentar enquanto DOGE varria o governodiz que as cidades precisam fazer um trabalho melhor para garantir que cláusulas de segurança cibernética são firmados em contratos com fornecedores e instaladores de tecnologia, especialmente como ferramentas de IA e sensores poderosos estão cada vez mais integrado em infraestrutura de transporte.

Redwood City, por exemplo, havia exigido contratualmente que seu fornecedor de instalação e manutenção de botões “use diligência razoável e bom senso” no momento do hack, mas não especificou nada sobre senhas ou segurança digital.

Numa declaração não assinada à WIRED, a administração rodoviária disse que já havia emitido um comunicado técnico descrevendo “medidas de segurança para garantir que idiotas ideológicos não coloquem em risco a segurança dos americanos ao utilizar nossas faixas de pedestres”.

A investigação policial sobre os botões hackeados no Vale do Silício esfriou. As autoridades não conseguiram descobrir quem estava por trás do esquema porque os botões não rastreiam quem carrega o áudio e as imagens de vigilância da área não ajudaram, de acordo com o tenente da polícia de Redwood City, Jeff Clements.

Aviso Público

A Polara Enterprises, com sede em Greenville, Texas, é fornecedora líder de botões para faixas de pedestres há décadas. Alguns permitem que as cidades carreguem clipes de áudio personalizados via Bluetooth para dar aos pedestres, incluindo aqueles que são cegos ou deficientes visuais, dicas extras como a rua e a direção que estão atravessando.

Oficial on-line manuais e vídeos dirigido aos milhares de técnicos que fazem a manutenção dos botões em todo o país, descreve como os modelos Polara habilitados para Bluetooth são fornecidos com uma senha padrão de “1234” e são configuráveis ​​por meio de um servidor disponível publicamente. aplicativo. Cerca de oito meses antes da onda de hackers de botões do ano passado, um vlogger de segurança física chamado Deviant Ollam postou um vídeo no YouTube apontando quão fácil seria mexer nos botões. “Não estou incentivando ninguém a tentar senhas completamente adivinháveis ​​e enviar seu próprio conteúdo porque, lembre-se, isso seria ruim. Isso provavelmente seria um crime ou algo assim. Converse com seus advogados”, disse ele no vídeo.