De drie informaticastudenten die tal van problemen met een Amerikaanse variant van de OV-chipkaart blootlegde, konden gratis reizen door een brute-force aanval op de checksum uit te voeren. Het trio ontdekte dat de magneetstrip van de kaart eenvoudig te klonen is. Om de waarde van een kaartje te verhogen voerden ze wel een hele aparte brute-force aanval uit. De checksum kon maximaal 64 verschillende waardes bevatten, dus maakten ze ook 64 verschillende kaartje totdat ze de juiste hadden.

Het probleem wordt vergroot doordat de waarde van de kaart niet versleuteld is en er ook geen auditing-systeem is dat controleert welke waarden er op de kaart horen te staan. Net als met de Nederlandse OV-chipkaart lukte het de studenten om het reistegoed van andere reizigers te gebruiken door op afstand de kaart uit lezen. Die gebruikten namelijk de Mifare classic RFID-chip. Uiteindelijk was het de fabrikant van deze chips, NXP, die de Massachusetts Bay Transportation Authority (MBTA) voor de presentatie waarschuwde. Daarop stapte de MBTA naar de rechter die de studenten in eerste instantie een spreekverbod oplegde.

De problemen die de onderzoekers vonden waren niet alleen technisch van aard. In sommige gevallen konden ze de controle-poortjes openen door op een knop te drukken die zich in de buurt van de poortjes bevond. In dit interview komt een van de onderzoekers, Zack Anderson, aan het woord. Hij beschouwt zichzelf niet als een held, zoals sommige weblogs het trio noemde. "De werkelijke helden in dit geval waren onze advocaten die het spreekverbod wisten op te heffen."