Dziura w zabezpieczeniach metra w Nowym Jorku umożliwia użytkownikom śledzenie podróży za pomocą kart

Niedawne odkrycie dokonane przez 404 Media uwydatniło poważną lukę w zabezpieczeniach systemu płatności zbliżeniowych w metrze w Nowym Jorku, potencjalnie zagrażającą prywatności pasażerów. Według Finextra luka umożliwia osobom dysponującym danymi karty kredytowej pasażera dostęp do historii jego podróży, co budzi obawy związane z nieuprawnionym śledzeniem podróży.
Usterka wynika z funkcji dostępnej na stronie internetowej OMNY Metropolitan Transportation Authority (MTA), zaprojektowanej w celu zapewnienia użytkownikom wygodnego dostępu do siedmiodniowej historii przejazdów. Niepokojące jest to, że funkcja ta nie wymaga od użytkowników posiadania konta chronionego kodem PIN lub hasłem; zamiast tego dostęp jest przyznawany poprzez samo wprowadzenie danych karty powiązanej z kontem pasażera.
Co ciekawe, ta luka w bezpieczeństwie wpływa na różne formy płatności, obejmujące zwykłe transakcje kartowe, a także platformy płatności mobilnych, takie jak Apple Pay i Google Pay. Dwie ostatnie metody zazwyczaj wykorzystują numery tokenizowane w celu zwiększenia bezpieczeństwa sprzedawców, ale w tym przypadku są one również podatne na wykorzystanie.
Eva Galperin, dyrektor ds. cyberbezpieczeństwa w Electronic Frontier Foundation, podkreśliła potencjał nadużyć w takiej sytuacji. Podkreśliła, że choć usterka może być szczególnie atrakcyjna dla osób znajdujących się w pobliżu swoich ofiar, takich jak konkubenci lub osoby mające krótki dostęp do ich portfeli, to jednak stwarza ona poważne zagrożenie dla prywatności i bezpieczeństwa pasażerów.
Eugene Resnick, rzecznik MTA, w odpowiedzi na to odkrycie stwierdził, że agencja w dalszym ciągu angażuje się w ulepszanie środków ochrony prywatności swoich pasażerów. Zapewnił opinię publiczną, że MTA poważnie podchodzi do takich obaw i będzie aktywnie zwracać się do ekspertów ds. bezpieczeństwa o opinię w celu zbadania potencjalnych ulepszeń w celu usunięcia tej luki.
Ponieważ MTA zmaga się z luką w zabezpieczeniach, zachęca się pasażerów, aby zachowali czujność w zakresie swoich informacji finansowych i danych osobowych. Incydent podkreśla ciągłą potrzebę wprowadzenia rygorystycznych środków bezpieczeństwa w obszarze płatności zbliżeniowych, zwłaszcza że systemy transportu publicznego w dalszym ciągu modernizują swoje systemy płatności za przejazdy.
W świetle tego odkrycia staje się oczywiste, że aby naprawić ten problem i zapobiec przyszłym naruszeniom poufnych informacji, niezbędny jest kompleksowy przegląd strony internetowej OMNY i infrastruktury płatniczej MTA. Ponieważ celem MTA jest zapewnienie prywatności i bezpieczeństwa swoim pasażerom, współpraca z ekspertami ds. cyberbezpieczeństwa i ciągłe wysiłki na rzecz udoskonalenia ich protokołów bezpieczeństwa będą miały kluczowe znaczenie w przyszłości.