New York Metropolitan Ulaşım Otoritesi (MTA), birisinin başka bir kişinin son yedi güne ait seyahat geçmişine erişmek için bu özelliği ne kadar kolaylıkla kötüye kullanabileceğini gösteren bir raporun ardından şehrin metro sistemi için temassız ödeme sistemiyle ilgili bir özelliği devre dışı bıraktı.
Raporu yazan 404 Medya başka bir kişinin metro yolculukları için dokun ve öde yöntemiyle kullanmış olabileceği kredi kartı numarasına erişimi olan herhangi birinin, daha sonra bu kartı kişinin metro sistemindeki hareketlerini takip etmek için nasıl kullanabileceğini anlattı. Birinin yapması gereken tek şey, kart numarasını MTA’nın One Metro New York (OMNY) web sitesine girerek ilgili hesap sahibinin önceki haftaya ait seyahat geçmişini herhangi bir ek doğrulamaya gerek kalmadan görüntülemekti.
Bir kişinin başka bir kişinin cüzdanına fiziksel olarak erişebilmesinin yanı sıra, kredi kartı numaraları da satın almak isteyen herkes için yer altı pazarlarında kolaylıkla bulunabilmektedir. Bir rapor Comparetech ağustos ayında piyasaya sürüldü kart numarası, CVV, son kullanma tarihi ve kart sahibinin adı dahil olmak üzere temel kredi kartı bilgileri için ortalama Dark Web fiyatının 17,36 dolar olduğunu gösterdi. Fiyatlar, çalıntı bir kartın mevcut kredisine bağlı olup, yüksek kredi limitli kartlar için yüzlerce doları bulmaktadır. Ancak sadece bir numara satın almak muhtemelen çok daha uygun maliyetlidir.
Takip Tehdidi
OMNY’nin yolculuk geçmişi bilgileri, çıkış noktasını değil, yalnızca metro sistemine giriş noktasını gösterir. 404 Media makalesi, yine de bu verilerin, bir istismarcının mağdurları takip etmesi veya birisinin bir kişiyi takip etmesi veya yaşayabileceği yeri daraltması için yeterli olduğu uyarısında bulunuyor. Raporda, MTA’nın bir bireyin kredi kartı numarasını birincil tanımlayıcı olarak kullandığı ve bu kimliği doğrulamak için PIN’e bile ihtiyaç duymadığı konusunda endişelerini dile getiren bir gizlilik uzmanından alıntı yapıldı.
MTA sözcüsü Eugene Resnick, Dark Reading’e e-postayla gönderilen bir açıklamada, toplu taşıma otoritesinin OMNY web sitesindeki yolculuk geçmişi özelliğini geçici olarak askıya aldığını söyledi. Resnick, “Bu özelliğin amacı, bir OMNY hesabı oluşturmak zorunda kalmadan, hem ücretli hem de ücretsiz dokun-git yolculuk geçmişlerine erişmek isteyen müşterilerimize yardımcı olmaktı” dedi. “MTA’nın müşteri gizliliğine yönelik süregelen taahhüdünün bir parçası olarak , bu müşterilere hizmet vermenin diğer yollarını değerlendirirken bu özelliği devre dışı bıraktık.”
Bu arada MTA’nın metro yolcularına seyahatlerini nakit olarak ödeme seçeneği sunmaya devam ettiğini ve temassız ödeme seçeneğindeki potansiyel iyileştirmeler konusunda güvenlik uzmanlarının görüşlerini dikkate almaya istekli olduğunu belirtti.
MTA, dört yıl önce, Haziran 2019’da metro yolculukları için temassız dokun-öde seçeneğini resmi olarak tanıttı. Bu seçenek, yolcuların yolculuklar için temassız kredi veya banka kartlarını kullanarak ödeme yapmasına olanak tanıyor. Yükselticiler ayrıca, akıllı cihazlarını şehrin metro sistemine kurulu OMNY okuyucularına dokundurarak yolculukların ödemesini yapmak için Google Pay ve Apple Pay gibi mobil cüzdanları kullanma seçeneğine de sahip.
MTA’nın kendisi gerçek kart numarasını saklamaz veya görmez. Bunun yerine, ek bir güvenlik önlemi olarak tüm kart numaraları tokenleştirilir veya gizlenir. MTA’ya göre bu, MTA’nın gerçek kredi kartı numarasını bilmeden işlemlerin işlenmesine ve seyahat geçmişlerinin oluşturulmasına olanak tanıyor.
MTA deneyimi, kuruluşların önümüzdeki yıllarda dokundur ve kullan ödeme modellerini benimserken karşılaşması muhtemel bazı potansiyel aksaklıkların altını çiziyor.
Şimdilik Sessizleştirilmiş Güvenlik Endişeleri
Temassız ödeme teknolojileri yıllardır ortalıkta dolaşıyor ancak bunların kullanımı pandemi sırasında gerçekten patlama yaşadı ve o zamandan beri de büyümeye devam ediyor. ABD’nin başlıca kredi derecelendirme hizmeti olan Fair, Isaac and Company’nin (FICO) üst düzey yöneticilerinden birinin bu ayın başlarında yazdığı bir blog gönderisinde, temassız ödeme pazarının küresel değerinin 2028 yılına kadar 6,3 trilyon dolara ulaşacağı ve İngiltere ile Avrupa’nın bu alanda lider konumda olacağı tahmin ediliyor. yol. Gönderi, temassız ödemelerin bankalara ve tüccarlara bir yol sağladığını belirtti. daha hızlı ve sürtünmesiz sağlayın Tüketiciler için daha fazla kolaylık ve kolaylık sağlarken aynı zamanda işlemler.
Temassız ödeme teknolojisinin kullanımıyla ilgili güvenlik endişeleri şu an için bir miktar azaldı ve ortaya çıktığında bunun esas olarak ödeme kartı dolandırıcılığı potansiyeli ile ilgisi var. FICO blogunun belirttiği gibi: “Temassız ödemeler alanında meydana gelen dolandırıcılık türü şu anda oldukça basit; bir banka kartının veya kredi kartının kazara kaybedilmesi veya kasıtlı olarak çalınması. Suçlular, belirli bir süre önce limitine kadar birden fazla satın alma işlemi gerçekleştirebilir. PIN gerekli.”