La Metropolitan Transportation Authority (MTA) de New York a désactivé une fonctionnalité associée à son système de paiement sans contact pour le métro de la ville, à la suite d'un rapport montrant avec quelle facilité quelqu'un pourrait en abuser pour accéder à l'historique des déplacements d'une autre personne au cours des sept jours précédents.
Le rapport 404 médias a décrit comment toute personne ayant accès à un numéro de carte de crédit qu'une autre personne aurait pu utiliser pour payer des trajets en métro pouvait ensuite utiliser la carte pour suivre les mouvements de la personne dans le métro. Tout ce que quelqu'un avait à faire était de saisir le numéro de carte sur le site Web One Metro New York (OMNY) du MTA pour obtenir l'historique des voyages du titulaire du compte associé pour la semaine précédente, sans aucune vérification supplémentaire.
En plus du fait qu'une personne ait un accès physique au portefeuille d'une autre personne, les numéros de carte de crédit sont également facilement disponibles sur les marchés clandestins pour tous ceux qui souhaitent les acheter. Un rapport qui Comparitech sorti en août a montré que le prix moyen du Dark Web pour les informations de base sur les cartes de crédit, y compris le numéro de carte, le CVV, la date d'expiration et le nom du titulaire de la carte, est de 17.36 $. Les prix sont liés au crédit disponible sur une carte volée et peuvent atteindre des centaines de dollars pour les cartes avec des limites de crédit élevées. Cependant, le simple fait d’acheter un numéro est probablement beaucoup plus abordable.
Une menace de harcèlement
Les informations sur l'historique des trajets d'OMNY indiquent uniquement le point d'entrée dans le métro, pas le point de sortie. Même ainsi, les données sont suffisantes pour qu'un agresseur puisse traquer ses victimes ou pour que quelqu'un puisse suivre un individu ou déterminer où il pourrait vivre, prévient l'article de 404 Media. Le rapport cite un expert en matière de protection de la vie privée qui s'est dit préoccupé par la façon dont le MTA semble avoir utilisé le numéro de carte de crédit d'un individu comme identifiant principal et n'a pas exigé le moindre code PIN pour authentifier cette identité.
Dans une déclaration envoyée par courrier électronique à Dark Reading, le porte-parole de la MTA, Eugene Resnick, a déclaré que la société de transport avait temporairement suspendu la fonction d'historique des déplacements sur son site Web OMNY. "Cette fonctionnalité était destinée à aider nos clients qui souhaitent accéder à leurs historiques de voyages instantanés, payants et gratuits, sans avoir à créer un compte OMNY", a déclaré Resnick. "Dans le cadre de l'engagement continu de la MTA en faveur de la confidentialité des clients, nous avons désactivé cette fonctionnalité pendant que nous évaluons d'autres moyens de servir ces clients."
Pendant ce temps, MTA continue de donner aux usagers du métro la possibilité de payer leur voyage en espèces et est prête à prendre en compte les commentaires des experts en sécurité sur les améliorations potentielles de l'option de paiement sans contact, a-t-il noté.
MTA a officiellement introduit son option de paiement sans contact pour les trajets en métro il y a quatre ans, en juin 2019. Cette option permet aux usagers de payer leurs trajets en utilisant leurs cartes de crédit ou de débit sans contact. Les Risers ont également la possibilité d'utiliser des portefeuilles mobiles tels que Google Pay et Apple Pay pour payer les courses en plaçant simplement leurs appareils intelligents sur les lecteurs OMNY installés dans le métro de la ville.
Le MTA lui-même ne stocke ni ne voit le numéro de carte réel. Au contraire, tous les numéros de carte sont tokenisés – ou masqués – par mesure de sécurité supplémentaire. Selon le MTA, cela permet de traiter les transactions et de générer des historiques de voyages sans que le MTA connaisse le numéro réel de la carte de crédit.
L’expérience MTA met en évidence certains des problèmes potentiels que les organisations sont susceptibles de rencontrer lorsqu’elles adopteront des modèles de paiement « tap-and-go » dans les années à venir.
Préoccupations de sécurité discrètes pour le moment
Les technologies de paiement sans contact existent depuis des années, mais leur utilisation a véritablement explosé pendant la pandémie et n’a cessé de croître depuis. Un article de blog publié plus tôt ce mois-ci par un cadre supérieur de Fair, Isaac and Company (FICO), le principal service d'évaluation du crédit aux États-Unis, estime que la valeur mondiale du marché des paiements sans contact atteindra 6.3 2028 milliards de dollars d'ici XNUMX, le Royaume-Uni et l'Europe étant en tête. le chemin. Le message identifiait les paiements sans contact comme permettant aux banques et aux commerçants de fournir plus rapidement et sans friction transactions tout en favorisant plus de commodité et de facilité pour les consommateurs.
Pour le moment, problèmes de sécurité liés à l'utilisation du sans contact technologie de paiement sont quelque peu discrets et, lorsqu'ils existent, ils sont principalement liés au risque de fraude par carte de paiement. Comme le note le blog FICO : « Le type de fraude qui a lieu dans le domaine des paiements sans contact est actuellement assez simple : la perte accidentelle ou le vol délibéré d’une carte de débit ou de crédit. Les criminels peuvent effectuer plusieurs achats jusqu’à la limite avant d’avoir besoin d’un code PIN.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- GraphiquePrime. Élevez votre jeu de trading avec ChartPrime. Accéder ici.
- Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
- La source: https://www.darkreading.com/risk/new-york-subway-disables-trip-history-feature-tap-and-go-privacy-concerns
- :possède
- :est
- :ne pas
- :où
- $UP
- 2019
- 2028
- 36
- 7
- a
- abus
- accès
- Selon
- Compte
- présenter
- ajout
- Supplémentaire
- abordables
- depuis
- devant
- Tous
- permet
- aussi
- an
- et les
- Une autre
- tous
- chacun.e
- paru
- SONT
- autour
- article
- AS
- associé
- At
- authentifier
- autorité
- disponibles
- moyen
- Banks
- Essentiel
- BE
- était
- before
- Blog
- tous les deux
- mais
- acheter
- Achat
- by
- CAN
- carte
- Cartes
- Argent liquide
- Ville
- engagement
- Société
- PROBLÈMES DE PEAU
- Préoccupations
- Considérer
- Les consommateurs
- Contactless
- paiements sans contact
- continue
- commodité
- pourriez
- engendrent
- crédit
- carte de crédit
- Criminels
- Lecture
- des clients
- Clients
- Foncé
- Lecture sombre
- Places de marché
- données
- Date
- jours
- Débit
- Cartes de débit
- décrit
- Compatibles
- DID
- handicapé
- do
- dollars
- down
- pendant
- Plus tôt
- facilité
- même
- embrasser
- permettant
- assez
- Entrer
- entrée
- estimations
- Eugene
- Europe
- évaluer
- Pourtant, la
- JAMAIS
- exécutif
- exister
- Sortie
- d'experience
- expert
- de santé
- expiration
- exprimé
- juste
- équitablement
- plus rapide
- Fonctionnalité
- FICO
- Abonnement
- Pour
- Pour les consommateurs
- Officiellement
- favoriser
- quatre
- fraude
- gratuitement ici
- De
- généré
- Donner
- Global
- Go
- Google Pay
- Croissance
- Vous avez
- ayant
- he
- vous aider
- Haute
- Faits saillants
- Histoire
- Comment
- HTTPS
- Des centaines
- identifié
- identifiant
- Identite
- améliorations
- in
- Y compris
- individuel
- d'information
- contribution
- Installé
- développement
- introduit
- IT
- SES
- lui-même
- jpg
- juin
- juste
- conservé
- Genre
- connaissance
- conduisant
- Probable
- LIMIT
- limites
- le travail
- perte
- principalement
- a prendre une
- Marché
- signifiait
- Médias
- Marchands
- pourrait
- Breeze Mobile
- numériques jumeaux (digital twin models)
- moment
- Mois
- PLUS
- mouvement
- beaucoup
- prénom
- étroit
- nécessaire
- Nouveauté
- New York
- noté
- nombre
- numéros
- NYC
- of
- on
- ONE
- en cours
- uniquement
- Option
- or
- organisations
- Autre
- nos
- plus de
- payé
- pandémie
- partie
- Payer
- Paiement
- Carte de paiement
- Système de paiement
- Paiements
- Physique
- Place
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Point
- Post
- défaillances
- prix
- Tarifs
- primaire
- Avant
- la confidentialité
- Traité
- achats
- plutôt
- nous joindre
- lecteurs
- en cours
- vraiment
- royaume
- libéré
- rapport
- exigent
- coureurs
- s
- Sécurité
- Saïd
- marquant
- sécurité
- sur le lien
- supérieur
- besoin
- service
- sept
- plusieurs
- montré
- Spectacles
- simplement
- depuis
- smart
- So
- quelques
- Quelqu'un
- quelque peu
- Déclaration
- volé
- Boutique
- tel
- suspendu
- combustion propre
- prend
- tapotement
- Les technologies
- qui
- Le
- au Royaume-Uni
- vol
- leur
- Les
- puis
- Ces
- l'ont
- this
- bien que?
- Attaché
- à
- tokenisé
- suivre
- Transactions
- transit
- transport
- Voyage
- Billion
- voyage
- Uk
- us
- utilisé
- d'utiliser
- en utilisant
- Plus-value
- Vérification
- victimes
- Wallet
- Portefeuilles
- souhaitez
- était
- Façon..
- façons
- we
- web
- Site Web
- semaine
- quand
- tout en
- WHO
- prêt
- comprenant
- sans
- années
- york
- zéphyrnet