يعاني نظام الدفع بدون تلامس في مترو الأنفاق في مدينة نيويورك من ثغرة أمنية، حيث يمكن لأي شخص لديه رقم بطاقة الائتمان الخاصة بشخص ما معرفة متى وأين دخل مترو الأنفاق في المدينة في الأيام السبعة الماضية.
تكمن المشكلة في ميزة موجودة على موقع OMNY الإلكتروني، وهي نظام النقر للدفع التابع لهيئة النقل الحضرية (MTA)، والذي يسمح لك بعرض سجل رحلتك الأخيرة باستخدام معلومات بطاقة الائتمان فقط.
علاوة على ذلك، فإن إدخالات Subway التي تم شراؤها باستخدام Apple Pay – والتي تمنح التجار رقمًا افتراضيًا بدلاً من رقمك الحقيقي – لا تزال مرتبطة بطريقة ما برقم بطاقتك الائتمانية الفعلي.
قد يسمح التنفيذ لـ MTA بمعرفة متى وأين يدخلون مترو الأنفاق عادةً.
أبلغ جوزيف كوكس من 404 Media في البداية عن القصة، موضحًا بالتفصيل كيف (بموافقة الراكب) تتبع المحطات التي دخلوها – مع الأوقات المقابلة.
وكتب كوكس: “لو واصلت مراقبة هذا الشخص، لكنت عرفت من محطة مترو الأنفاق التي غالبًا ما يبدأ منها رحلته، والتي تكون قريبة من المكان الذي يعيش فيه”. “أود أيضًا أن أعرف الوقت المحدد الذي قد يذهب فيه هذا الشخص إلى مترو الأنفاق كل يوم.”
وقالت إيفا جالبيرين، مديرة الأمن السيبراني في مؤسسة الحدود الإلكترونية، لموقع Engadget: “هذه هدية للمسيئين”. يسمح موقع OMNY أيضًا للمسافرين بإنشاء حساب محمي بكلمة مرور، ولكنه موجود ضمن قسم “التحقق من سجل الرحلة” الأكثر بروزًا في أعلى الصفحة، ولا يتطلب سوى رقم هاتف. وتاريخ انتهاء الصلاحية دون أي إدخال أمني إضافي.
وأضاف جالبيرين: “إنها مشكلة حقيقية أن يكون لديك خيار تتبع موقعك – دون أي نوع من أمان كلمة المرور – متاحًا لأول مرة على موقع الويب”. وتقول إن MTA كان بإمكانها “إصلاح هذا الأمر ببساطة” عن طريق تضمين رقم التعريف الشخصي أو كلمة المرور بجوار حقل بطاقة الائتمان.
لا يزال موقع الويب يعرض سجل سفرك حتى إذا كنت تدفع باستخدام Apple Pay. يقول صانع iPhone إن نظام النقر للدفع الخاص به يمنح التجار رقمًا افتراضيًا بدلاً من رقم البطاقة الفعلية. وجاء في إعلان تسويقي على موقع الشركة الإلكتروني: “وعندما تدفع، لا تشارك Apple أبدًا أرقام بطاقتك مع التجار”. لكن أحد موظفي Engadget أكد أن إدخال رقم بطاقة الائتمان الفعلية المرتبطة بحساب Apple Pay الخاص بالمستخدم – دون استخدام تلك البطاقة مباشرة للركوب – لا يزال يكشف عن سجل نقطة الدخول لمدة سبعة أيام.
عندما سئل عن موقع OMNY الذي يربط بين الاثنين بغض النظر، أخبرت MTA موقع Engadget أنه لا يمكنه رؤية أرقام بطاقات الائتمان للعملاء الذين يستخدمون Apple Pay. لم تستجب شركة Apple على الفور لطلب عبر البريد الإلكتروني للتعليق حول كيفية ربط موقع MTA على الويب بين الاثنين دون أن يتمكن البائعون من الوصول إلى رقم بطاقة الائتمان الفعلي.
تقول MTA إنها ستأخذ في الاعتبار التغييرات الأمنية أثناء تحسين نظامها. “إن MTA ملتزمة بالحفاظ على خصوصية العملاء” ، كتب المتحدث باسم MTA يوجين ريسنيك إلى Engadget في رسالة بالبريد الإلكتروني.
