يعانى نظام الدفع اللاتلامسي لمترو الأنفاق في مدينة نيويورك من ثغرة أمنية، حيث يمكن لأي شخص لديه رقم بطاقة الائتمان الخاصة بشخص ما، معرفة متى وأين دخلوا إلى مترو الأنفاق بالمدينة خلال الأيام السبعة الماضية.
وتكمن المشكلة في ميزة موجودة على موقع الويب الخاص بـ OMNY، وهو نظام الضغط للدفع التابع لهيئة النقل الحضرية (MTA)، والذي يسمح لك بمشاهدة سجل رحلتك الأخير باستخدام معلومات بطاقة الائتمان فقط.
علاوة على ذلك، فإن إدخالات مترو الأنفاق التي تم شراؤها باستخدام Apple Pay - والتي تمنح التجار رقمًا افتراضيًا بدلاً من رقمك الحقيقي - لا تزال مرتبطة بطريقة ما برقم بطاقة الائتمان الفعلية الخاصة بك.
ويمكن أن يسمح التنفيذ لـ MTA للملاحقين أو الشركاء السابقين المسيئين أو أي شخص يخترق أو يشتري معلومات بطاقة الائتمان الخاصة بشخص ما عبر الإنترنت لمعرفة متى وأين يدخلون عادةً إلى مترو الأنفاق.
و أبلغ جوزيف كوكس من 404 Media في البداية عن القصة، موضحًا بالتفصيل كيف (بموافقة الراكب) قام بتتبع المحطات التي دخلوها - مع الأوقات المقابلة.
وكتب كوكس: "لو واصلت مراقبة هذا الشخص، لكنت عرفت محطة مترو الأنفاق التي غالبًا ما يبدأون رحلتهم منها، وهي قريبة من المكان الذي يعيشون فيه". "أود أيضًا أن أعرف الوقت المحدد الذي قد يذهب فيه هذا الشخص إلى مترو الأنفاق كل يوم."
وقالت إيفا جالبيرين، مديرة الأمن السيبراني بمؤسسة الحدود الإلكترونية، لموقع Engadget: "هذه هدية للمسيئين"، يسمح موقع OMNY أيضًا للمسافرين بإنشاء حساب محمي بكلمة مرور، ولكنه موجود أسفل قسم "التحقق من سجل الرحلة" الأكثر بروزًا أعلى الصفحة، ولا يتطلب سوى رقم وتاريخ انتهاء الصلاحية دون أي إدخال أمني إضافي.
وأضافت جالبيرين، "أنها مشكلة حقيقية أن يكون خيار تتبع موقعك - دون أي نوع من أمان كلمة المرور - متاحًا أولاً على موقع الويب". وتقول إن MTA كان بإمكانها "إصلاح هذا الأمر ببساطة" من خلال تضمين رقم التعريف الشخصي أو كلمة المرور بجانب حقل بطاقة الائتمان.
ولا يزال موقع الويب يعرض سجل سفرك حتى إذا قمت بالدفع باستخدام Apple Pay. يقول صانع iPhone إن نظام النقر للدفع الخاص به يمنح التجار رقمًا افتراضيًا بدلاً من رقم البطاقة الفعلية. وجاء في إعلان تسويقي على موقع الشركة الإلكتروني: "وعندما تدفع، لا تشارك Apple أرقام بطاقتك مع التجار أبدًا". لكن أحد موظفي Engadget أكد أن إدخال رقم بطاقتهم الائتمانية الفعلي المرتبط بحساب Apple Pay المستخدم - دون استخدام تلك البطاقة مباشرة للركوب - لا يزال يكشف عن تاريخ نقطة الدخول لمدة سبعة أيام.
عندما سئل عن موقع OMNY الذي يربط بين الاثنين بغض النظر، أخبرت MTA موقع Engadget أنه لا يمكنه رؤية أرقام بطاقات الائتمان للعملاء الذين يستخدمون Apple Pay. لم تستجب شركة Apple على الفور لطلب عبر البريد الإلكتروني للتعليق حول كيفية ربط موقع MTA على الويب بين الاثنين دون أن يتمكن البائعون من الوصول إلى رقم بطاقة الائتمان الفعلية.
تقول MTA إنها ستأخذ في الاعتبار التغييرات الأمنية أثناء تحسين نظامها. "إن MTA ملتزمة بالحفاظ على خصوصية العملاء" ، كتب المتحدث باسم MTA يوجين ريسنيك إلى Engadget في رسالة بالبريد الإلكتروني.