Wie ein 'NULL'-Nummernschild einen Hacker in der Ticket-Hölle landete


Joseph Tartaro niemals soll so viel Ärger verursachen. Vor allem für sich.

Ende 2016 entschied sich Tartaro für ein Autokennzeichen. Von Beruf Sicherheitsforscher, klickte er Möglichkeiten auf, die mit seiner Arbeit zu tun hatten: SEGFAULT vielleicht oder etwas, das mit Schwachstellen zu tun hatte. Er suchte nach seinen Optionen und fing an, „Nullzeiger“ einzugeben, fing sich aber nach dem ersten Wort wieder ein. NULL. Lustig. "Die Idee war, dass ich für das Auto meiner Frau VOID bekomme, damit unsere Auffahrt NULL und VOID ist", sagt Tartaro.

Der Witz hatte jedoch Schichten. Wie Tartaro genau wusste und wie er kürzlich in einem Vortrag auf der Defcon-Hacker-Konferenz erklärte, ist „null“ auch eine Textzeichenfolge, die in vielen Programmiersprachen einen leeren oder undefinierten Wert kennzeichnet. Für viele Computer null ist das Nichts.

Diese Einstellung hat auch eine brutale Pointe – eine, die Tartaro zu einem Zeitpunkt verließ und mit 12.049 Dollar Verkehrsbußgeldern konfrontiert war, die ihm fälschlicherweise in die Quere kamen. Er ist sich immer noch nicht sicher, ob er sein Auto in diesem Jahr neu anmelden kann, ohne die Tickets eines anderen zu bezahlen. Und dank der Kafkaesque-Schleife, in die er geraten ist, ist nicht klar, ob die Zitate jemals aufhören werden zu kommen.

Nullmenge

In seinem Defcon-Vortrag spielte Tartaro die Idee auf, dass er ursprünglich gehofft hatte, ein NULL-Kennzeichen könnte ihn aus den Tickets holen – dass die Verletzung, sobald sie in die Datenbank der Täter eingespeist wurde, buchstäblich nicht mehr berechnet werden würde. Aber er sagt jetzt, dass Streiche eigentlich nicht sein anfänglicher Fokus waren. Wenn überhaupt, war er überrascht, dass er sich auf der kalifornischen DMV-Website überhaupt NULL registrieren ließ.

Das erste Jahr als NULL-Fahrer verlief ereignislos. Aber als es 2017 an der Zeit war, sich erneut zu registrieren, akzeptierte die DMV-Website NULL nicht mehr als Option. "Es brach die Website", sagt Tartaro. Insbesondere teilte ihm die Site mit, dass das von ihm eingegebene Nummernschild und die Fahrzeugidentifikationsnummer ungültig seien. Trotzdem konnte Tartaro eine Referenznummer für die Erneuerung verwenden. Er dachte nicht viel mehr darüber nach.

Er dachte auch nicht viel über das Ticket nach, das er Anfang 2018 bekam, weil er nicht den entsprechenden Registrierungsaufkleber auf seinem Nummernschild hatte. Tartaro vermutet, dass jemand es abgekratzt hat, um es für sein eigenes Auto zu verwenden. Er überlegte, ob er dagegen vorgehen sollte, aber das Bußgeld betrug nur 35 US-Dollar, also entschloss er sich, es einfach zu bezahlen und sein Leben fortzusetzen.

Dann kamen die Zitate. Dutzende von ihnen, lose in seinem Briefkasten deponiert. Verstöße gegen das Parkverbot, Verstöße gegen das Stoppverbot, Bußgelder in Höhe von 37, 60, 74, 80 US-Dollar von Fresno bis Rancho Cucamonga. "Ich war noch nie in Fresno", sagt Tartaro.

Tartaro war auch nicht auf eine landesweite, parkbezogene Kriminalität ausgetreten. Stattdessen sieht es so aus, als würde eine Datenbank, die dieses Ticket im Wert von 35 US-Dollar bezahlt, NULL mit seinen persönlichen Daten verknüpfen. Dies bedeutet, dass jedes Mal, wenn ein Verkehrspolizist vergaß, das Kennzeichen eines Zitats einzutragen, die Geldstrafe automatisch an Joseph Tartaro geschickt wurde.

Die Tickets waren für Hondas, Toyotas, Mercedes. (Tartaro fährt einen Infiniti.) Zu einem bestimmten Zeitpunkt, so Tartaro, erhielt er zwei Tickets, die innerhalb weniger Stunden am Cyprus College ausgestellt wurden – für zwei verschiedene Fahrzeuge. Er hätte die Registrierung während seiner Mittagspause tauschen müssen. Schlimmer noch, die eingehenden Zitate schienen rückwirkend zuzutreffen.

"Ich habe Tickets von 2014", sagt Tartaro. "Ich hatte damals noch keinen Teller."

Zitate 'R' Us

Die Geldbußen wurden alle von einer privaten Firma namens Citation Processing Center verschickt, die Parkzitate verarbeitet. Aber sie anzurufen, sagt Tartaro, erwies sich als erfolglos.

"Ich habe mich an diese Firma gewandt, und sie sagen im Grunde, dass ich zweifelsohne beweisen muss, dass diese Hunderte von Tickets nicht meine sind. Der Versuch, mit einem Manager zu sprechen, führte zu keinem Erfolg “, sagt Tartaro. "Er sieht so aus, als müsst ihr uns all das zurückschicken."

Tartaro lehnte ab, weil er befürchtete, das Papierprotokoll über die falsch zugewiesenen Bußgelder zu verlieren. Am nächsten Tag habe er jedoch etwas Merkwürdiges in der öffentlichen Online-Liste der Zitate bemerkt, die auf der Website des Citation Processing Center abgelegt seien. Er hatte ihnen ein Beispiel für ein bestimmtes Ticket gegeben, das er für einen Honda bekommen hatte. Online war dieser Datensatz in einen Infiniti mit der VIN von Taranto geändert worden. Taranto teilte im Rahmen seines Defcon-Vortrags einen Vergleich seiner Papierversion und der anscheinend geänderten Datenbankversion.

"Nachdem ich telefoniert hatte, liegen direkt nach dem Telefonat dieselben Tickets vor mir, auf denen noch die physischen Ausdrucke zu finden sind, aus denen hervorgeht, dass Marke und Modell geändert wurden", so Tartaro. Eine Mitarbeiterin des Citation Processing Center sagte, dass sie sich der Situation von Tartaro bewusst war, das Unternehmen jedoch keine Kommentare abgeben konnte.

Tartaro wandte sich als nächstes an den DMV, der, wie er sagt, mit dem Citation Processing Center zusammengearbeitet hat, um den Großteil der Tickets zu löschen, die ihm irrtümlich in den Weg gekommen waren. Damit war der geschuldete Betrag am vergangenen Wochenende erfolgreich auf 6.262 US-Dollar gesunken, das Kernproblem konnte jedoch nicht gelöst werden. Immer mehr Tickets flossen ein. Die Datenbank hatte ihn immer noch fest im Griff.

Trotz alledem blieb Tartaro größtenteils unbeteiligt. Das CPC war nur eine private Firma; Er konnte weiter mit dem DMV zusammenarbeiten, um die eingegangenen Bußgelder für nichtig zu erklären, was ärgerlich, aber keine Katastrophe war. Er hatte sein Auto im Vorjahr erfolgreich zugelassen, obwohl sich die CPC-Zitate häuften. Aber nur wenige Tage vor seinem Defcon-Gespräch, so Tartaro, habe er eine Mitteilung erhalten, dass der kalifornische DMV ihn seine Registrierung dieses Mal nicht verlängern lassen würde, es sei denn, er habe tatsächlich einige dieser Bußgelder gezahlt.

"Jetzt, da die DMV diese gefälschten Tickets erzwingt, ändert sie alles", sagt er. „Im Moment kann ich mein Fahrzeug nicht neu registrieren, ohne die Tickets zu bezahlen. Aber ich kann die Tickets nicht bezahlen, weil es Schuldgefühle zulässt, und in dem Moment, in dem ich zugebe, dass es mich für alle anderen Tickets öffnet. Ich bin im Grunde genommen in einer sehr schlechten Situation. "

Zumindest in den letzten Tagen hat sich die Situation etwas gebessert. Tartaro sagt, dass die seinem Auto zugewiesenen Tickets beim letzten Check-in am Sonntag noch mehr als 6.000 US-Dollar betrugen. Als WIRED am Dienstag das NULL-Kennzeichen in der CPC-Datenbank nachschlug und das Unternehmen nach den Gebühren befragte, wurden nur noch Tickets im Wert von 140 USD angezeigt. Beide aus Fresno.

Infiniti und darüber hinaus

Tartaro sieht dies nicht als Aufschub an. Er ist froh, dass die Tickets verschwunden sind, aber er müsste immer noch 140 US-Dollar bezahlen, um sein Auto neu zu registrieren. Und es gibt keine Garantie dafür, dass unterwegs keine weiteren Bußgelder verhängt werden.

Es ist auch schwer zu wissen, an wen man sich zur Lösung wenden kann. "Herr. Tartaros Situation scheint sich aus den Richtlinien der örtlichen Parkbehörden zu ergeben, auf die der DMV keinen Einfluss hat “, sagte der kalifornische DMV-Sprecher Marty Geenstein. "Aus Sicht des DMV erkennt unser System sein personalisiertes Kennzeichen und zeigt an, dass er berechtigt ist, seine Registrierung online zu verlängern." Vorausgesetzt, er zahlt die Gebühr.

Streich oder nicht, Tartaro spielte mit dem Feuer, indem er an erster Stelle mit NULL ging. "Er hatte es vor sich", sagt Christopher Null, ein Journalist, der zuvor für WIRED über die Herausforderungen seines Nachnamens geschrieben hat. "Alles, was Sie jemals bekommen, sind Fehler und Abstürze und Kopfschmerzen."

Wenn überhaupt, hat sich das Problem im Laufe der Jahre verschlimmert. "Das Konzept des 'Minimum Viable Product' hat eine Menge schlechten Codes durchgespielt, der nicht die richtige Teststufe durchläuft", sagt Null und fügt hinzu, dass jeder Betroffene unweigerlich ein Randfall ist, ein relativ kleines Problem, das es nicht wert ist eine Menge Ressourcen zu reparieren. Null selbst musste sich mit unzähligen Ärgernissen auseinandersetzen, von American Express, der seinen Nachnamen gänzlich fallen ließ, bis zur Bank of America, die sich weigerte, E-Mails von seiner Domain "nullmedia.com" anzunehmen.

Trotzdem sagt Tartaro, er sei entschlossen, sein problematisches Nummernschild zu behalten, und nicht nur, um stolz zu sein. „Ich habe immer noch Tickets dabei. Sobald ich meinen Teller wechsle, weiß ich, dass es noch komplizierter und verwirrender wird “, sagt er. "Ich fühlte mich nicht wohl, es zu ändern, bis ich wusste, dass es tatsächlich gelöst wurde."


Weitere großartige WIRED-Geschichten