In de kleine Afgelopen april stopte iemand op ongeveer twintig kruispunten in Silicon Valley en lanceerde een ongekende cyberaanval die zich uiteindelijk naar meerdere staten zou verspreiden, waardoor lokale functionarissen in verlegenheid werden gebracht en hen ertoe werd aangezet hun veiligheidspraktijken in twijfel te trekken. De autoriteiten vermoeden dat de onbekende dader misbruik heeft gemaakt van een zwak en openbaar beschikbaar faillissement wachtwoorden om draadloos aangepaste opnames te uploaden die worden afgespeeld wanneer een voetganger op een zebrapadknop drukt.
In plaats van de normale opnames die mensen vertelden te wachten of de straat over te steken, hoorden voetgangers de vervalste stemmen van technologie-CEO’s van miljardairs. Een nep-Mark Zuckerberg gezegd op een kruispunt in Menlo Park zouden mensen niet kunnen voorkomen dat AI ‘met geweld’ ‘in elk facet van je bewuste ervaring’ wordt ingevoegd. Bij een ander, hij gevierd “de democratie ondermijnen.” Op een ander kruispunt staat een gewijzigde Elon Musk beschreven President Donald Trump noemde hij ‘eigenlijk heel lief en teder en liefdevol’, terwijl in een nabijgelegen straat zijn nepstem zeurde dat hij ‘zo alleen’ was.
E-mails en sms-berichten van de overheid die WIRED heeft verkregen via verzoeken om openbare registers laten zien hoe de steden Menlo Park, Redwood City, Palo Alto en later Seattle en Denver zich haastten om te reageren op het knoeien met de zebrapadknop. De communicatie, samen met interviews met beveiligingsexperts en voormalige werknemers van de knopenfabrikant, benadrukt hoe overheden en het bedrijf kwetsbaarheden in een wijdverbreide technologie over het hoofd hadden gezien.
In Redwood City ondervroeg de toenmalige stadsmanager Melissa Diaz het personeel over wie de schuld moest krijgen van het incident. “We moeten begrijpen wie verantwoordelijk moet zijn voor de veiligheid van deze systemen en wat we kunnen doen om het personeel of de externe verantwoordelijke partij aansprakelijk te stellen”, schreef ze in een e-mail aan collega’s in de dagen na de hack.
Nick Mathiowdis, de huidige manager van Redwood City, vertelt WIRED dat het personeel het probleem heeft aangepakt op basis van “geleerde lessen en evoluerende best practices”, maar weigert details te delen om verdere hacks te voorkomen.
Edward Fok, een ervaren cyberbeveiligingsfunctionaris van de Federal Highway Administration die de hacking kort onderzocht voordat hij met pensioen ging terwijl DOGE de regering binnendrongzegt dat steden hun werk beter moeten doen om dat te garanderen cyberbeveiligingsclausules zijn ingebakken in contracten met leveranciers en installateurs van technologie, vooral als AI-tools krachtige sensoren zijn steeds meer geïntegreerd in de transportinfrastructuur.
Redwood City had bijvoorbeeld contractueel van zijn leverancier voor de installatie en het onderhoud van knoppen geëist dat hij “redelijke zorgvuldigheid en gezond verstand aan de dag legde” ten tijde van de hack, maar had niets gespecificeerd over wachtwoorden of digitale beveiliging.
In een niet-ondertekende verklaring aan WIRED zei de snelwegadministratie dat het eerder een technisch advies had uitgebracht waarin “veiligheidsmaatregelen werden geschetst om ervoor te zorgen dat ideologische idioten de veiligheid van Amerikanen niet in gevaar brengen wanneer ze onze oversteekplaatsen gebruiken.”
Het politieonderzoek naar de gehackte knoppen in Silicon Valley is op niets uitgelopen. De autoriteiten konden er niet achter komen wie er achter het plan zat, omdat de knoppen niet bijhouden wie audio uploadt, en bewakingsbeelden uit de omgeving waren niet nuttig, aldus politie-luitenant Jeff Clements van Redwood City.
Publieke waarschuwing
Het in Greenville, Texas gevestigde Polara Enterprises is al tientallen jaren een toonaangevende leverancier van drukknoppen voor zebrapaden. Sommige bieden steden de mogelijkheid om aangepaste audioclips via Bluetooth te uploaden om voetgangers, inclusief blinden of slechtzienden, extra aanwijzingen te geven, zoals de straat en de richting waarin ze oversteken.
Officieel online handleidingen En video’s gericht op de duizenden technici die de knoppen in het hele land onderhouden, beschrijft hoe Polara-modellen met Bluetooth worden geleverd met een standaardwachtwoord van “1234” en kunnen worden geconfigureerd via een openbaar beschikbare app. Ongeveer acht maanden vóór de button-hacking van vorig jaar plaatste een fysieke beveiligingsvlogger met de naam Deviant Ollam een YouTube-video erop wijzen hoe gemakkelijk het zou zijn om met de knoppen te knoeien. “Ik moedig niemand aan om volledig te raden wachtwoorden uit te proberen en hun eigen inhoud te uploaden, want onthoud: dat zou slecht zijn. Dat zou waarschijnlijk een misdaad zijn of zoiets. Praat met je advocaten”, zei hij in de video.
