La Metropolitan Transportation Authority (MTA) di New York ha disabilitato una funzionalità associata al suo sistema di pagamento contactless per la metropolitana della città, a seguito di un rapporto che mostrava con quanta facilità qualcuno potrebbe abusarne per accedere alla cronologia dei viaggi di un altro individuo nei sette giorni precedenti.
Il rapporto di 404 media ha descritto come chiunque abbia accesso a un numero di carta di credito che un altro individuo potrebbe aver utilizzato per effettuare il tap-and-pay per le corse in metropolitana potrebbe quindi utilizzare la carta per tracciare i movimenti dell'individuo nel sistema metropolitano. Tutto ciò che qualcuno doveva fare era inserire il numero della carta nel sito web One Metro New York (OMNY) dell'MTA per visualizzare la cronologia dei viaggi del titolare dell'account associato per la settimana precedente, senza alcuna verifica aggiuntiva.
Oltre a qualcuno che ha accesso fisico al portafoglio di un altro individuo, i numeri delle carte di credito sono facilmente reperibili anche nei mercati clandestini per chiunque sia disposto ad acquistarli. Un rapporto che Comparitech rilasciato ad agosto ha mostrato che il prezzo medio sul Dark Web per le informazioni di base della carta di credito – inclusi numero di carta, CVV, data di scadenza e nome del titolare della carta – è di $ 17.36. I prezzi sono legati al credito disponibile su una carta rubata e raggiungono le centinaia di dollari per le carte con limiti di credito elevati. Acquistare solo un numero, però, è probabilmente molto più conveniente.
Una minaccia di stalking
Le informazioni sulla cronologia dei viaggi di OMNY mostrano solo il punto di ingresso nel sistema metropolitano, non il punto di uscita. Anche così, i dati sono sufficienti affinché un aggressore possa perseguitare le vittime o per qualcuno per rintracciare un individuo o restringere il campo in cui potrebbe vivere, avverte l’articolo di 404 Media. Il rapporto citava un esperto di privacy che esprimeva preoccupazione per il modo in cui l'MTA sembrava aver utilizzato il numero di carta di credito di un individuo come identificatore primario e non richiedeva nemmeno un PIN per autenticare tale identità.
In una dichiarazione inviata via e-mail a Dark Reading, il portavoce della MTA Eugene Resnick ha affermato che l'autorità di transito ha temporaneamente sospeso la funzione di cronologia dei viaggi sul suo sito web OMNY. "Questa funzionalità è stata pensata per aiutare i nostri clienti che desiderano accedere alle loro cronologie di viaggi tap-and-go, sia a pagamento che gratuiti, senza dover creare un account OMNY", ha affermato Resnick. "Come parte del costante impegno dell'MTA nei confronti della privacy dei clienti, abbiamo disabilitato questa funzionalità mentre valutiamo altri modi per servire questi clienti."
Nel frattempo, MTA continua a offrire agli utenti della metropolitana la possibilità di pagare il proprio viaggio in contanti ed è disposta a prendere in considerazione il contributo di esperti di sicurezza su potenziali miglioramenti all’opzione di pagamento senza contatto, ha osservato.
MTA ha introdotto formalmente la sua opzione tap-to-pay contactless per le corse in metropolitana quattro anni fa, nel giugno 2019. L'opzione consente ai passeggeri di pagare le corse utilizzando le loro carte di credito o debito contactless. Gli alzanti hanno anche la possibilità di utilizzare portafogli mobili come Google Pay e Apple Pay per pagare le corse semplicemente collegando i loro dispositivi intelligenti ai lettori OMNY installati nel sistema metropolitano della città.
L'MTA stesso non memorizza né vede il numero effettivo della carta. Piuttosto, tutti i numeri delle carte vengono tokenizzati – o offuscati – come ulteriore precauzione di sicurezza. Secondo l'MTA, ciò consente l'elaborazione delle transazioni e la generazione della cronologia dei viaggi senza che l'MTA conosca il numero effettivo della carta di credito.
L’esperienza dell’MTA evidenzia alcuni dei potenziali intoppi che le organizzazioni potrebbero incontrare nell’adottare modelli di pagamento tap-and-go negli anni a venire.
Preoccupazioni per la sicurezza attenuate per il momento
Le tecnologie di pagamento contactless esistono da anni, ma il loro utilizzo è esploso durante la pandemia e da allora ha continuato a crescere. Un post sul blog all’inizio di questo mese di un dirigente senior di Fair, Isaac and Company (FICO), il principale servizio di credit scoring negli Stati Uniti, stima che il valore globale del mercato dei pagamenti contactless raggiungerà i 6.3 trilioni di dollari entro il 2028, con il Regno Unito e l’Europa in testa il modo. Il post identifica i pagamenti contactless come un modo per consentire alle banche e ai commercianti di farlo fornire più veloce e senza attriti transazioni, promuovendo nel contempo maggiore comodità e facilità per i consumatori.
Per il momento, preoccupazioni per la sicurezza relative all'uso del contactless tecnologia di pagamento sono in qualche modo attenuati e, quando esistono, hanno principalmente a che fare con il potenziale di frode sulle carte di pagamento. Come osservato dal blog FICO: “Il tipo di frode che avviene nel campo dei pagamenti contactless è attualmente abbastanza poco sofisticato: la perdita accidentale o il furto deliberato di una carta di debito o di credito. I criminali possono effettuare diversi acquisti fino al limite prima che sia necessario un PIN."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Grafico Prime. Migliora il tuo gioco di trading con ChartPrime. Accedi qui.
- BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
- Fonte: https://www.darkreading.com/risk/new-york-subway-disables-trip-history-feature-tap-and-go-privacy-concerns
- :ha
- :È
- :non
- :Dove
- $ SU
- 2019
- 2028
- 36
- 7
- a
- abuso
- accesso
- Secondo
- Il mio account
- presenti
- aggiunta
- aggiuntivo
- conveniente
- fa
- avanti
- Tutti
- consente
- anche
- an
- ed
- Un altro
- in qualsiasi
- chiunque
- apparso
- SONO
- in giro
- articolo
- AS
- associato
- At
- autenticare
- autorità
- disponibile
- media
- Banche
- basic
- BE
- stato
- prima
- Blog
- entrambi
- ma
- Acquistare
- Acquisto
- by
- Materiale
- carta
- Carte
- Contanti
- Città
- impegno
- azienda
- Problemi della Pelle
- preoccupazioni
- Prendere in considerazione
- Consumatori
- contactless
- pagamenti senza contatto
- continua
- comodità
- potuto
- creare
- credito
- carta di credito
- criminali
- Attualmente
- cliente
- Clienti
- Scuro
- Lettura oscura
- Web Scuro
- dati
- Data
- Giorni
- Addebito
- Carta di debito
- descritta
- dispositivi
- DID
- disabile
- do
- effettua
- dollari
- giù
- durante
- In precedenza
- alleviare
- facilmente
- abbraccio
- consentendo
- abbastanza
- entrare
- iscrizione
- stime
- Eugene
- Europa
- valutare
- Anche
- EVER
- esecutivo
- esistere
- uscita
- esperienza
- esperto
- esperti
- scadenza
- espresso
- fiera
- abbastanza
- più veloce
- caratteristica
- FICO
- i seguenti
- Nel
- Per i consumatori
- formalmente
- promozione
- quattro
- frode
- Gratis
- da
- generato
- Dare
- globali
- Go
- Google Pay
- Crescita
- Avere
- avendo
- he
- Aiuto
- Alta
- evidenzia
- storia
- titolare
- Come
- HTTPS
- centinaia
- identificato
- identificatore
- Identità
- miglioramenti
- in
- Compreso
- individuale
- informazioni
- ingresso
- installato
- ai miglioramenti
- introdotto
- IT
- SUO
- stessa
- jpg
- giugno
- ad appena
- tenere
- Genere
- Conoscere
- principale
- probabile
- LIMITE
- limiti
- vivere
- spento
- principalmente
- make
- Rappresentanza
- significava
- Media
- Commercianti
- forza
- Mobile
- modelli
- momento
- Mese
- Scopri di più
- movimento
- molti
- Nome
- stretto
- di applicazione
- New
- New York
- noto
- numero
- numeri
- NYC
- of
- on
- ONE
- in corso
- esclusivamente
- Opzione
- or
- organizzazioni
- Altro
- nostro
- ancora
- pagato
- pandemia
- parte
- Paga le
- Pagamento
- Carta di pagamento
- sistema di pagamento
- pagamenti
- Fisico
- posto
- Platone
- Platone Data Intelligence
- PlatoneDati
- punto
- Post
- potenziale
- prezzo
- Prezzi
- primario
- Precedente
- Privacy
- Elaborato
- acquisti
- piuttosto
- raggiungere
- lettori
- Lettura
- veramente
- regno
- rilasciato
- rapporto
- richiedere
- piloti
- s
- Sicurezza
- Suddetto
- punteggio
- problemi di
- vedere
- anziano
- servire
- servizio
- Sette
- alcuni
- ha mostrato
- Spettacoli
- semplicemente
- da
- smart
- So
- alcuni
- Qualcuno
- piuttosto
- dichiarazione
- rubare
- Tornare al suo account
- tale
- sospeso
- sistema
- prende
- maschiatura
- Tecnologie
- che
- Il
- Regno Unito
- furto
- loro
- Li
- poi
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- questo
- anche se?
- Legato
- a
- token
- pista
- Le transazioni
- transito
- trasporti
- viaggiare
- Trilione
- viaggio
- Uk
- us
- uso
- utilizzato
- utilizzando
- APPREZZIAMO
- Convalida
- vittime
- Portafoglio
- Portafogli
- volere
- Prima
- Modo..
- modi
- we
- sito web
- Sito web
- settimana
- quando
- while
- OMS
- disposto
- con
- senza
- anni
- York
- zefiro