Το ελάττωμα ασφαλείας του μετρό της Νέας Υόρκης καθιστά δυνατή την παρακολούθηση των ταξιδιών των αναβατών
Το σύστημα ανέπαφων πληρωμών για το μετρό της
Νέα
ς Υόρκης έχει μια τρύπα ασφαλείας. Οποιοσδήποτε έχει πρόσβαση στον αριθμό της πιστωτικής κάρτας κάποιου μπορεί να δει πότε και πού εισήλθε στην υπόγεια συγκοινωνία της πόλης τις τελευταίες επτά ημέρες. Το πρόβλημα έγκειται σε ένα «χαρακτηριστικό» στον ιστότοπο του OMNY, το σύστημα tap-to-pay για τη Μητροπολιτική Αρχή Μεταφορών (MTA), το οποίο σας επιτρέπει να βλέπετε το πρόσφατο ιστορικό ταξιδιών σας χρησιμοποιώντας μόνο πληροφορίες πιστωτικής κάρτας. Επιπλέον, οι καταχωρήσεις στο μετρό που αγοράστηκαν χρησιμοποιώντας το Apple Pay – το οποίο δίνει στους εμπόρους έναν εικονικό αριθμό αντί για τον πραγματικό σας – εξακολουθούν να συνδέονται με τον φυσικό αριθμό της πιστωτικής σας κάρτας.
Η χαλαρή
εφαρμογή
του MTA θα μπορούσε να επιτρέψει σε καταδιώκτες, κακοποιούς πρώην ή σε οποιονδήποτε εισβάλλει ή αγοράζει τα στοιχεία της πιστωτικής κάρτας ενός ατόμου στο Διαδίκτυο, να μάθουν πότε και πού συνήθως εισέρχονται στο μετρό. Τζόζεφ Κοξ του
404
Μέσα
αρχικά
αναφέρθηκε στην ιστορία
, αναφέροντας λεπτομερώς πώς (με τη συγκατάθεση ενός αναβάτη) παρακολουθούσε τους σταθμούς στους οποίους μπήκαν — με τους αντίστοιχους χρόνους. «Αν είχα συνεχίσει να παρακολουθώ αυτό το άτομο, θα είχα καταλάβει τον σταθμό του μετρό στον οποίο ξεκινάνε συχνά ένα ταξίδι, ο οποίος είναι κοντά στο σημείο που μένει», έγραψε η Κοξ. «Θα ήξερα επίσης ποια συγκεκριμένη ώρα μπορεί να πηγαίνει αυτό το άτομο στο μετρό κάθε μέρα».
«Αυτό είναι ένα δώρο για τους καταχραστές», είπε στο Engadget η Eva Galperin, διευθύντρια
κυβερνοασφάλεια
ς του Electronic Frontier Foundation. ο
Ιστοσελίδα της ΟΜΝΥ
Επιτρέπει επίσης στους επιβάτες να δημιουργήσουν έναν λογαριασμό που προστατεύεται με κωδικό πρόσβασης, αλλά βρίσκεται κάτω από την πιο εμφανή ενότητα “Έλεγχος ιστορικού ταξιδιού” στην κορυφή της σελίδας, απαιτώντας μόνο αριθμό και ημερομηνία λήξης χωρίς περαιτέρω εισαγωγή ασφαλείας. «Είναι πραγματικό πρόβλημα ότι η επιλογή παρακολούθησης της τοποθεσίας σας — χωρίς κανενός είδους ασφάλεια κωδικού πρόσβασης — είναι διαθέσιμη πρώτα στον ιστότοπο», σημείωσε η Galperin. Λέει ότι το MTA θα μπορούσε να το είχε «διορθώσει απλά» συμπεριλαμβάνοντας μια απαίτηση PIN ή κωδικό πρόσβασης δίπλα στο πεδίο της πιστωτικής κάρτας.
Μητροπολιτική Αρχή Συγκοινωνιών
Ο ιστότοπος εξακολουθεί να εμφανίζει το ιστορικό ταξιδιού σας ακόμα κι αν πληρώσατε με Apple Pay. Ο κατασκευαστής
iPhone
λέει ότι το σύστημα tap-to-pay δίνει στους εμπόρους έναν εικονικό αριθμό αντί για τον αριθμό της φυσικής κάρτας. «Και όταν πληρώνετε, οι αριθμοί των καρτών σας δεν κοινοποιούνται ποτέ από την Apple στους εμπόρους», αναφέρεται σε μια ανακοίνωση μάρκετινγκ στον ιστότοπο της εταιρείας. Ωστόσο, ένας υπάλληλος του Engadget επιβεβαίωσε ότι η εισαγωγή του πραγματικού αριθμού της πιστωτικής τους κάρτας συνδεδεμένου με τον χρησιμοποιημένο λογαριασμό Apple Pay – χωρίς να έχει χρησιμοποιήσει απευθείας αυτήν την κάρτα για οδήγηση – εξακολουθούσε να αποκαλύπτει το επταήμερο ιστορικό σημείου εισόδου τους.
Όταν ρωτήθηκε για τον ιστότοπο OMNY που συνδέει τα δύο ανεξάρτητα, το MTA είπε στο Engadget ότι δεν μπορεί να δει τους αριθμούς πιστωτικών καρτών των πελατών που χρησιμοποιούν το Apple Pay. Η Apple δεν απάντησε αμέσως σε ένα αίτημα για σχολιασμό μέσω ηλεκτρονικού ταχυδρομείου σχετικά με τον τρόπο με τον οποίο ο ιστότοπος MTA συσχετίζει τα δύο, χωρίς οι προμηθευτές να έχουν πρόσβαση στον αριθμό της φυσικής πιστωτικής κάρτας.
Το MTA λέει ότι θα εξετάσει τις αλλαγές ασφαλείας καθώς βελτιώνει το σύστημά του. «Το MTA έχει δεσμευτεί να διατηρεί το απόρρητο των πελατών», έγραψε ο εκπρόσωπος Τύπου του MTA, Eugene Resnick, στο Engadget σε ένα email. «Η λειτουργία ιστορικού ταξιδιού δίνει στους πελάτες έναν τρόπο να ελέγχουν το ιστορικό ταξιδιών τους επί πληρωμή και δωρεάν για τις τελευταίες 7 ημέρες χωρίς να χρειάζεται να δημιουργήσουν λογαριασμό OMNY. Δίνουμε επίσης στους πελάτες τη δυνατότητα να πληρώσουν για το ταξίδι τους στην ΟΜΝΥ με μετρητά. Προσπαθούμε πάντα να βελτιώσουμε το απόρρητο και θα εξετάσουμε τη γνώμη ειδικών σε θέματα ασφάλειας καθώς αξιολογούμε πιθανές περαιτέρω βελτιώσεις.»
