纽约地铁因触碰式支付的隐私问题关闭行程历史功能

纽约大都会运输局(MTA)的这一举动是在一篇报告显示了有人可以通过One Metro New York(OMNY)网站轻易地查看其他人的七天乘车历史之后进行的。
纽约地铁因触碰式支付的隐私问题关闭行程历史功能

纽约大都会运输局(MTA)在一篇报告显示有人可以轻易地利用这个功能来查看其他人过去七天的行程历史后,暂时关闭了与其无接触式支付系统相关的一个功能。这个功能是为了方便纽约市的地铁系统的乘客。

404 Media的报告描述了任何一个拥有另一个人可能用来触碰式支付乘坐地铁的信用卡号码的人,都可以用这个卡号来追踪这个人在地铁系统上的行动。只需要把卡号输入MTA的One Metro New York(OMNY)网站,就可以查看与之相关的账户持有者过去一周的行程历史,而不需要任何额外的验证。

除了有人能够物理上接触到另一个人的钱包,信用卡号码也可以在地下市场上轻易地获得,只要有人愿意购买它们。Comparitech在八月份发布的一份报告显示,基本的信用卡信息——包括卡号、CVV、有效期和持卡人姓名——在暗网上的平均价格是17.36美元。这些价格与被盗卡上的可用信用额度有关,对于信用额度高的卡片,价格可以达到数百美元。不过,只购买一个号码,可能会便宜得多。

骚扰和威胁

OMNY的行程历史信息只显示了进入地铁系统的地点,而不是出口地点。即便如此,这些数据对于一个滥用者来说,也足以跟踪受害者或者追踪一个人或者缩小他们可能居住的范围,404 Media的文章警告说。这篇报告引用了一位隐私专家的话,他对MTA似乎把一个人的信用卡号码作为主要的标识符,并且不需要任何一个PIN来验证这个身份感到担忧。

在一封发给Dark Reading的电子邮件声明中,MTA发言人Eugene Resnick说,运输局已经暂时暂停了OMNY网站上的行程历史功能。“这个功能是为了帮助我们的客户,他们想要在不创建OMNY账户的情况下,访问他们的触碰式支付行程历史,无论是付费的还是免费的,”Resnick说。“作为MTA对客户隐私的持续承诺的一部分,我们已经禁用了这个功能,同时我们评估其他方式来服务这些客户。”

与此同时,MTA继续给地铁乘客提供用现金支付的选择,并且愿意考虑安全专家对无接触式支付选项的潜在改进的意见,他指出。

MTA正式推出了其无接触式触碰支付选项四年前,在2019年6月。这个选项允许乘客用他们的无接触式信用卡或借记卡来支付乘车费用。乘客也可以选择使用移动钱包,比如Google Pay和Apple Pay,通过简单地在安装在城市地铁系统中的OMNY读卡器上触碰他们的智能设备来支付乘车费用。

MTA本身并不存储或看到实际的卡号。相反,所有的卡号都被标记化——或者说被模糊化——作为一个额外的安全预防措施。根据MTA的说法,这样可以让交易被处理和行程历史被生成,而MTA从不知道实际的信用卡号码。

MTA的经历突显了一些组织在未来几年采用触碰式支付模式时可能遇到的潜在问题。

暂时缓和的安全担忧

无接触式支付技术已经存在了多年,但它们在疫情期间的使用真正爆发,并且从那时起一直在增长。美国主要的信用评分服务公司Fair, Isaac and Company(FICO)的一位高级执行官在本月早些时候的一篇博客文章中估计,到2028年,无接触式支付市场的全球价值将达到6.3万亿美元,英国和欧洲处于领先地位。这篇文章认为,无接触式支付为银行和商家提供了一种提供更快速和无摩擦的交易的方式,同时为消费者带来了更多的便利和舒适。

目前,关于使用无接触式支付技术的安全问题有些缓和,而且当它们存在时,主要是与支付卡欺诈的可能性有关。正如FICO博客所指出的:“在无接触式支付领域发生的欺诈类型,目前相当不复杂——无意丢失或故意盗取借记卡或信用卡。罪犯可以在需要输入PIN之前进行几次购买,直到达到限额。”

推荐阅读:

从945个网站窃取的文件在暗网上被发现

1100万HCA Healthcare患者受数据泄露影响

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20