NYC Metrosu, Dokun ve Git Gizlilik Kaygıları Nedeniyle Yolculuk Geçmişi Özelliğini Devre Dışı Bırakıyor



New York Metropolitan Ulaşım Otoritesi (MTA), birisinin başka bir kişinin son yedi güne ait seyahat geçmişine erişmek için bu özelliği ne kadar kolaylıkla kötüye kullanabileceğini gösteren bir raporun ardından şehrin metro sistemi için temassız ödeme sistemiyle ilgili bir özelliği devre dışı bıraktı.

404 Media tarafından hazırlanan rapor, başka bir kişinin metro yolculukları için dokun-öde yöntemiyle kullanmış olabileceği bir kredi kartı numarasına erişimi olan herhangi birinin, daha sonra bu kişinin metro sistemindeki hareketlerini takip etmek için bu kartı nasıl kullanabileceğini açıkladı. Birinin yapması gereken tek şey, kart numarasını MTA’nın One Metro New York (OMNY) web sitesine girerek ilgili hesap sahibinin önceki haftaya ait seyahat geçmişini herhangi bir ek doğrulamaya gerek kalmadan görüntülemekti.

Bir kişinin başka bir kişinin cüzdanına fiziksel olarak erişebilmesinin yanı sıra, kredi kartı numaraları da satın almak isteyen herkes için yer altı pazarlarında kolaylıkla bulunabilmektedir. Compareitech’in Ağustos ayında yayınladığı bir rapor, kart numarası, CVV, son kullanma tarihi ve kart sahibinin adı dahil olmak üzere temel kredi kartı bilgileri için ortalama Dark Web fiyatının 17,36 dolar olduğunu gösterdi. Fiyatlar, çalıntı bir kartın mevcut kredisine bağlı olup, yüksek kredi limitli kartlar için yüzlerce doları bulmaktadır. Ancak sadece bir numara satın almak muhtemelen çok daha uygun maliyetlidir.

Takip Tehdidi

OMNY’nin yolculuk geçmişi bilgileri, çıkış noktasını değil, yalnızca metro sistemine giriş noktasını gösterir. 404 Media makalesi, yine de bu verilerin, bir istismarcının mağdurları takip etmesi veya birisinin bir kişiyi takip etmesi veya yaşayabileceği yeri daraltması için yeterli olduğu uyarısında bulunuyor. Raporda, MTA’nın bir bireyin kredi kartı numarasını birincil tanımlayıcı olarak kullandığı ve bu kimliği doğrulamak için PIN’e bile ihtiyaç duymadığı konusunda endişelerini dile getiren bir gizlilik uzmanından alıntı yapıldı.

MTA sözcüsü Eugene Resnick, Dark Reading’e e-postayla gönderilen bir açıklamada, toplu taşıma otoritesinin OMNY web sitesindeki yolculuk geçmişi özelliğini geçici olarak askıya aldığını söyledi. Resnick, “Bu özelliğin amacı, bir OMNY hesabı oluşturmak zorunda kalmadan, hem ücretli hem de ücretsiz dokun-git yolculuk geçmişlerine erişmek isteyen müşterilerimize yardımcı olmaktı” dedi. “MTA’nın müşteri gizliliğine yönelik süregelen taahhüdünün bir parçası olarak , bu müşterilere hizmet vermenin diğer yollarını değerlendirirken bu özelliği devre dışı bıraktık.”

Bu arada, MTA’nın metro yolcularına seyahatlerini nakit olarak ödeme seçeneği sunmaya devam ettiğini ve temassız ödeme seçeneğindeki potansiyel iyileştirmeler konusunda güvenlik uzmanlarının görüşlerini dikkate almaya istekli olduğunu belirtti.

MTA, dört yıl önce, Haziran 2019’da metro yolculukları için temassız dokun-öde seçeneğini resmi olarak tanıttı. Bu seçenek, yolcuların yolculuklar için temassız kredi veya banka kartlarını kullanarak ödeme yapmasına olanak tanıyor. Yükselticiler ayrıca, akıllı cihazlarını şehrin metro sistemine kurulu OMNY okuyucularına dokundurarak yolculukların ödemesini yapmak için Google Pay ve Apple Pay gibi mobil cüzdanları kullanma seçeneğine de sahip.

MTA’nın kendisi gerçek kart numarasını saklamaz veya görmez. Bunun yerine, ek bir güvenlik önlemi olarak tüm kart numaraları tokenleştirilir veya gizlenir. MTA’ya göre bu, MTA’nın gerçek kredi kartı numarasını bilmeden işlemlerin işlenmesine ve seyahat geçmişlerinin oluşturulmasına olanak tanıyor.

MTA deneyimi, kuruluşların önümüzdeki yıllarda dokundur ve kullan ödeme modellerini benimserken karşılaşması muhtemel bazı potansiyel aksaklıkların altını çiziyor.

Şimdilik Sessizleştirilmiş Güvenlik Endişeleri

Temassız ödeme teknolojileri yıllardır ortalıkta dolaşıyor ancak bunların kullanımı pandemi sırasında gerçekten patlama yaşadı ve o zamandan beri de büyümeye devam ediyor. ABD’nin başlıca kredi derecelendirme hizmeti olan Fair, Isaac and Company’nin (FICO) üst düzey yöneticilerinden birinin bu ayın başlarında yazdığı bir blog gönderisinde, temassız ödeme pazarının küresel değerinin 2028 yılına kadar 6,3 trilyon dolara ulaşacağı ve İngiltere ile Avrupa’nın bu alanda lider konumda olacağı tahmin ediliyor. yol. Gönderide, temassız ödemelerin bankalara ve tüccarlara daha hızlı ve sorunsuz işlemler sağlamanın bir yolunu sağladığı, aynı zamanda tüketiciler için daha fazla kolaylık ve kolaylık sağladığı belirtildi.

Temassız ödeme teknolojisinin kullanımıyla ilgili güvenlik endişeleri şu an için bir miktar azaldı ve ortaya çıktığında bunun esas olarak ödeme kartı dolandırıcılığı potansiyeliyle ilgili olduğu görülüyor. FICO blogunun belirttiği gibi: “Temassız ödemeler alanında meydana gelen dolandırıcılık türü şu anda oldukça basit; bir banka kartının veya kredi kartının kazara kaybedilmesi veya kasıtlı olarak çalınması. Suçlular, belirli bir süre önce limitine kadar birden fazla satın alma işlemi gerçekleştirebilir. PIN gerekli.”



Source link