La faille de sécurité du métro de New York permet aux utilisateurs de retracer leurs déplacements avec des cartes

Une découverte récente par 404 Media a mis en évidence une faille de sécurité importante dans le système de paiement sans contact du métro de New York, mettant potentiellement en danger la vie privée des usagers. La faille permet aux individus armés des détails de la carte de crédit d'un passager d'accéder à son historique de voyage, ce qui soulève des inquiétudes quant au suivi non autorisé des voyages, selon Finextra .
La faille provient d'une fonctionnalité du site Web OMNY de la Metropolitan Transportation Authority (MTA), conçue pour fournir aux utilisateurs un moyen pratique d'accéder à l'historique de leurs trajets sur sept jours. Fait troublant, cette fonctionnalité n'exige pas que les utilisateurs disposent d'un compte protégé par un code PIN ou un mot de passe ; au lieu de cela, l'accès est accordé en saisissant simplement les détails de la carte associée au compte du passager.
Il est remarquable que cette faille de sécurité affecte diverses formes de paiement, englobant les transactions par carte régulières ainsi que les plateformes de paiement mobile comme Apple Pay et Google Pay. Ces deux dernières méthodes utilisent généralement des numéros tokenisés pour renforcer la sécurité des commerçants, mais dans ce cas, elles sont également vulnérables à l'exploitation.
Eva Galperin, directrice de la cybersécurité à l'Electronic Frontier Foundation, a souligné le potentiel d'utilisation abusive dans une telle situation. Elle a souligné que même si la faille peut être particulièrement attrayante pour les personnes proches de leurs victimes, comme les cohabitants ou celles qui ont brièvement accès à leur portefeuille, elle constitue néanmoins une menace importante pour la vie privée et la sécurité des passagers.
Eugene Resnick, porte-parole de la MTA, a répondu à la découverte en déclarant que l'agence reste déterminée à améliorer les mesures de confidentialité de ses passagers. Il a assuré au public que la MTA prend ces préoccupations au sérieux et sollicitera activement l'avis d'experts en sécurité pour explorer des améliorations potentielles pour remédier à cette vulnérabilité.
Alors que la MTA est aux prises avec cette faille de sécurité, les coureurs sont invités à rester vigilants concernant leurs informations financières et leurs données personnelles. L'incident souligne la nécessité constante de mesures de sécurité strictes dans le domaine des paiements sans contact, d'autant plus que les systèmes de transports publics continuent de moderniser leurs systèmes de paiement.
À la lumière de cette révélation, il devient évident qu'un examen complet du site Web OMNY et de l'infrastructure de paiement de la MTA est nécessaire pour remédier à ce problème et prévenir de futures violations d'informations sensibles. Alors que la MTA vise à garantir la confidentialité et la sécurité de ses passagers, la collaboration avec des experts en cybersécurité et les efforts continus pour renforcer leurs protocoles de sécurité seront essentiels à l'avenir.