El agujero de seguridad del metro de Nueva York permite a los usuarios rastrear viajes con tarjetas

Un descubrimiento reciente de 404 Media ha puesto de relieve una importante falla de seguridad en el sistema de pagos sin contacto del metro de la ciudad de Nueva York, que potencialmente pone en peligro la privacidad de los pasajeros. La falla permite a las personas armadas con los datos de la tarjeta de crédito de un pasajero obtener acceso a su historial de viajes, lo que genera preocupaciones sobre el seguimiento no autorizado de los viajes, según Finextra .
La falla surge de una función dentro del sitio web OMNY de la Autoridad de Transporte Metropolitano (MTA), diseñada para brindar a los usuarios una forma conveniente de acceder a su historial de viajes de siete días. Lo preocupante es que esta característica no requiere que los usuarios tengan una cuenta protegida por un PIN o contraseña; en cambio, el acceso se otorga simplemente ingresando los detalles de la tarjeta asociados con la cuenta del usuario.
Sorprendentemente, esta brecha de seguridad afecta a diversas formas de pago, abarcando transacciones regulares con tarjeta y plataformas de pago móvil como Apple Pay y Google Pay. Los dos últimos métodos suelen emplear números tokenizados para mejorar la seguridad de los comerciantes, pero en este caso, también son vulnerables a la explotación.
Eva Galperin, directora de ciberseguridad de la Electronic Frontier Foundation, enfatizó el potencial de uso indebido en tal situación. Señaló que si bien la falla podría ser especialmente atractiva para personas que están cerca de sus víctimas, como convivientes o aquellos con breve acceso a sus billeteras, no obstante representa una amenaza sustancial a la privacidad y seguridad de los pasajeros.
Eugene Resnick, portavoz de la MTA, respondió al descubrimiento afirmando que la agencia sigue comprometida a mejorar las medidas de privacidad para sus pasajeros. Aseguró al público que la MTA toma en serio estas preocupaciones y buscará activamente la opinión de expertos en seguridad para explorar posibles mejoras para abordar esta vulnerabilidad.
Mientras la MTA lidia con esta falla de seguridad, se insta a los pasajeros a permanecer atentos a su información financiera y datos personales. El incidente subraya la necesidad constante de medidas de seguridad estrictas en el ámbito de los pagos sin contacto, particularmente a medida que los sistemas de transporte público continúan modernizando sus sistemas de pago de tarifas.
A la luz de esta revelación, resulta evidente que es necesaria una revisión exhaustiva del sitio web OMNY de la MTA y de la infraestructura de pagos para rectificar este problema y evitar futuras violaciones de información confidencial. Dado que la MTA tiene como objetivo garantizar la privacidad y seguridad de sus pasajeros, la colaboración con expertos en ciberseguridad y los esfuerzos continuos para reforzar sus protocolos de seguridad serán fundamentales para avanzar.