A Autoridade Metropolitana de Transportes (MTA) de Nova York desativou um recurso associado ao seu sistema de pagamento sem contato para o sistema de metrô da cidade, após um relatório mostrando quão facilmente alguém poderia abusar dele para acessar o histórico de viagens de outro indivíduo nos sete dias anteriores.
O relatório do 404 Mídia descreveu como qualquer pessoa com acesso a um número de cartão de crédito que outro indivíduo possa ter usado para pagar viagens de metrô poderia então usar o cartão para rastrear o movimento do indivíduo no sistema de metrô. Tudo o que alguém precisava fazer era inserir o número do cartão no site One Metro New York (OMNY) do MTA para obter o histórico de viagens do titular da conta associado na semana anterior – sem qualquer verificação adicional.
Além de alguém ter acesso físico à carteira de outro indivíduo, números de cartão de crédito também estão facilmente disponíveis em mercados clandestinos para quem estiver disposto a comprá-los. Um relatório que Comparatech lançado em agosto mostrou que o preço médio da Dark Web para informações básicas de cartão de crédito – incluindo número do cartão, CVV, data de validade e nome do titular do cartão – é de US$ 17.36. Os preços estão vinculados ao crédito disponível em um cartão roubado e chegam a centenas de dólares para cartões com limites de crédito altos. Porém, apenas comprar um número é provavelmente muito mais acessível.
Uma ameaça de perseguição
As informações do histórico de viagens do OMNY mostram apenas o ponto de entrada no sistema de metrô, não o ponto de saída. Mesmo assim, os dados são suficientes para um agressor perseguir as vítimas ou para alguém rastrear um indivíduo ou determinar onde ele pode viver, alertou o artigo da 404 Media. O relatório citou um especialista em privacidade que expressou preocupação sobre como o MTA parecia ter usado o número do cartão de crédito de um indivíduo como identificador principal e não exigia nem mesmo um PIN para autenticar essa identidade.
Em uma declaração enviada por e-mail para Dark Reading, o porta-voz do MTA, Eugene Resnick, disse que a autoridade de trânsito suspendeu temporariamente o recurso de histórico de viagens em seu site OMNY. “Esse recurso foi criado para ajudar nossos clientes que desejam acessar seus históricos de viagens tap-and-go, tanto pagas quanto gratuitas, sem a necessidade de criar uma conta OMNY”, disse Resnick. “Como parte do compromisso contínuo do MTA com a privacidade do cliente, desativamos esse recurso enquanto avaliamos outras formas de atender esses clientes.”
Enquanto isso, o MTA continua a oferecer aos passageiros do metrô a opção de pagar suas viagens com dinheiro e está disposto a considerar a contribuição de especialistas em segurança sobre possíveis melhorias na opção de pagamento sem contato, observou ele.
A MTA introduziu formalmente sua opção tap-to-pay sem contato para viagens de metrô há quatro anos, em junho de 2019. A opção permite que os passageiros paguem pelas viagens usando seus cartões de crédito ou débito sem contato. Os risers também têm a opção de usar carteiras móveis, como Google Pay e Apple Pay para pagar viagens simplesmente tocando seus dispositivos inteligentes nos leitores OMNY instalados no sistema de metrô da cidade.
O próprio MTA não armazena nem vê o número real do cartão. Em vez disso, todos os números de cartão são tokenizados – ou ofuscados – como uma precaução adicional de segurança. De acordo com o MTA, isso permite que as transações sejam processadas e os históricos de viagens sejam gerados sem que o MTA saiba o número real do cartão de crédito.
A experiência do MTA destaca alguns dos potenciais contratempos que as organizações provavelmente encontrarão ao adotarem modelos de pagamento tap-and-go nos próximos anos.
Preocupações de segurança silenciadas no momento
As tecnologias de pagamento sem contacto já existem há anos, mas a sua utilização explodiu durante a pandemia e continuou a crescer desde então. Uma postagem no blog no início deste mês feita por um executivo sênior da Fair, Isaac and Company (FICO), o principal serviço de pontuação de crédito dos EUA, estima que o valor global do mercado de pagamentos sem contato atingirá US$ 6.3 trilhões até 2028, com o Reino Unido e a Europa liderando o caminho. A postagem identificou os pagamentos sem contato como permitindo aos bancos e comerciantes uma forma de fornecer mais rápido e sem atrito transações e, ao mesmo tempo, promover mais conveniência e facilidade para os consumidores.
Para o momento, preocupações de segurança em torno do uso do sistema sem contato tecnologia de pagamento são um tanto silenciados e, quando existem, têm a ver principalmente com o potencial de fraude com cartões de pagamento. Como observou o blog FICO: “O tipo de fraude que ocorre no domínio dos pagamentos sem contato é atualmente bastante pouco sofisticado – a perda acidental ou roubo deliberado de um cartão de débito ou crédito. Os criminosos podem fazer várias compras até o limite antes que um PIN seja necessário.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- ChartPrime. Eleve seu jogo de negociação com ChartPrime. Acesse aqui.
- BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
- Fonte: https://www.darkreading.com/risk/new-york-subway-disables-trip-history-feature-tap-and-go-privacy-concerns
- :tem
- :é
- :não
- :onde
- $UP
- 2019
- 2028
- 36
- 7
- a
- abuso
- Acesso
- Segundo
- Conta
- real
- Adição
- Adicional
- acessível
- atrás
- à frente
- Todos os Produtos
- permite
- tb
- an
- e
- Outro
- qualquer
- qualquer um
- apareceu
- SOMOS
- por aí
- artigo
- AS
- associado
- At
- autenticar
- autoridade
- disponível
- média
- bancos
- basic
- BE
- sido
- antes
- Blog
- ambos
- mas a
- comprar
- Comprar
- by
- CAN
- cartão
- Cartões
- dinheiro
- Cidades
- compromisso
- Empresa
- Interesse
- Preocupações
- Considerar
- Consumidores
- contactless
- pagamentos sem contato
- continua
- facilidade
- poderia
- crio
- crédito
- cartão de crédito
- Os criminosos
- Atualmente
- cliente
- Clientes
- Escuro
- Leitura escura
- dark web
- dados,
- Data
- dias
- Débito
- Cartão de débito
- descrito
- Dispositivos/Instrumentos
- DID
- inválido
- do
- parece
- dólares
- down
- durante
- Mais cedo
- facilidade
- facilmente
- abraços
- permitindo
- suficiente
- Entrar
- entrada
- estimativas
- Eugene
- Europa
- avaliar
- Mesmo
- SEMPRE
- executivo
- existir
- saída
- vasta experiência
- especialista
- especialistas
- expiração
- expressa
- feira
- bastante
- mais rápido
- Característica
- FICO
- seguinte
- Escolha
- Para os consumidores
- Formalmente
- fomento
- quatro
- fraude
- Gratuito
- da
- gerado
- OFERTE
- Global
- Go
- Google Pay
- Crescente
- Ter
- ter
- he
- ajudar
- Alta
- destaques
- história
- titular
- Como funciona o dobrador de carta de canal
- HTTPS
- Centenas
- identificado
- identificador
- Identidade
- melhorias
- in
- Incluindo
- Individual
- INFORMAÇÕES
- entrada
- instalado
- para dentro
- introduzido
- IT
- ESTÁ
- se
- jpg
- Junho
- apenas por
- manteve
- Tipo
- Conhecimento
- principal
- Provável
- LIMITE
- limites
- viver
- fora
- principalmente
- fazer
- mercado
- significava
- Mídia
- Comerciantes
- poder
- Móvel Esteira
- modelos
- momento
- Mês
- mais
- movimento
- muito
- nome
- estreito
- necessário
- Novo
- New York
- notado
- número
- números
- NYC
- of
- on
- ONE
- contínuo
- só
- Opção
- or
- organizações
- Outros
- A Nossa
- Acima de
- pago
- pandemia
- parte
- Pagar
- pagamento
- Cartão de pagamento
- sistema de pagamento
- pagamentos
- físico
- Lugar
- platão
- Inteligência de Dados Platão
- PlatãoData
- ponto
- Publique
- potencial
- preço
- Valores
- primário
- Prévio
- política de privacidade
- Processado
- compras
- em vez
- alcançar
- leitores
- Leitura
- clientes
- reino
- liberado
- Denunciar
- requerer
- cavaleiros
- s
- Segurança
- Dito
- marcar
- segurança
- Vejo
- senior
- servir
- serviço
- Sete
- vários
- mostrou
- Shows
- simplesmente
- desde
- smart
- So
- alguns
- Alguém
- um pouco
- Declaração
- roubado
- loja
- tal
- suspenso
- .
- toma
- tocando
- Tecnologias
- que
- A
- do Reino Unido
- roubo
- deles
- Eles
- então
- Este
- deles
- isto
- Apesar?
- Amarrado
- para
- tokenized
- pista
- Transações
- trânsito
- transporte
- viagens
- Trilhão
- viagem
- Uk
- us
- usar
- usava
- utilização
- valor
- Verificação
- vítimas
- Wallet
- Carteiras
- queremos
- foi
- Caminho..
- maneiras
- we
- web
- Site
- semana
- quando
- enquanto
- QUEM
- disposto
- de
- sem
- anos
- Iorque
- zefirnet