Дыра в безопасности метро Нью-Йорка позволяет пользователям отслеживать поездки с помощью карт

Недавнее открытие 404 Media выявило существенный недостаток безопасности в системе бесконтактных платежей в метро Нью-Йорка, потенциально ставящий под угрозу конфиденциальность пассажиров. По данным Finextra, эта уязвимость позволяет лицам, вооруженным данными кредитной карты водителя, получить доступ к истории его поездок, что вызывает опасения по поводу несанкционированного отслеживания поездок.

Ошибка связана с функцией на веб-сайте OMNY Столичного транспортного управления (MTA), предназначенной для предоставления пользователям удобного способа доступа к истории их семидневных поездок. Вызывает беспокойство тот факт, что эта функция не требует от пользователей наличия учетной записи, защищенной PIN-кодом или паролем; вместо этого доступ предоставляется путем простого ввода данных карты, связанной с учетной записью водителя.

Примечательно, что этот пробел в безопасности затрагивает различные формы оплаты, включая обычные транзакции по картам, а также платформы мобильных платежей, такие как Apple Pay и Google Pay. Последние два метода обычно используют токенизированные номера для повышения безопасности продавцов, но в этом случае они также уязвимы для злоумышленников.

Ева Гальперин, директор по кибербезопасности Electronic Frontier Foundation, подчеркнула возможность злоупотреблений в такой ситуации. Она отметила, что, хотя эта уязвимость может быть особенно привлекательной для людей, находящихся рядом со своими жертвами, например, сожителей или тех, кто имеет кратковременный доступ к их кошелькам, она, тем не менее, представляет собой существенную угрозу конфиденциальности и безопасности пассажиров.

Юджин Резник, представитель MTA, отреагировал на это открытие, заявив, что агентство по-прежнему привержено усилению мер конфиденциальности для своих пассажиров. Он заверил общественность, что MTA серьезно относится к подобным опасениям и будет активно обращаться к экспертам по безопасности для изучения потенциальных улучшений для устранения этой уязвимости.

Поскольку MTA борется с этой проблемой безопасности, пассажирам настоятельно рекомендуется сохранять бдительность в отношении своей финансовой информации и личных данных. Инцидент подчеркивает сохраняющуюся необходимость в строгих мерах безопасности в сфере бесконтактных платежей, особенно в связи с тем, что системы общественного транспорта продолжают модернизировать свои системы оплаты проезда.

В свете этого открытия становится очевидным, что необходима комплексная проверка веб-сайта OMNY и платежной инфраструктуры MTA, чтобы исправить эту проблему и предотвратить будущие утечки конфиденциальной информации. Поскольку MTA стремится обеспечить конфиденциальность и безопасность своих пассажиров, сотрудничество с экспертами по кибербезопасности и постоянные усилия по укреплению их протоколов безопасности будут иметь решающее значение в дальнейшем развитии.