0
0
A Autoridade Metropolitana de Transportes (MTA) de Nova York desativou um recurso associado ao seu sistema de pagamento sem contato para o sistema de metrô da cidade, após um relatório mostrando quão facilmente alguém poderia abusar dele para acessar o histórico de viagens de outro indivíduo nos sete dias anteriores.
O relatório da 404 Media descreveu como qualquer pessoa com acesso a um número de cartão de crédito que outro indivíduo possa ter usado para pagar viagens de metrô poderia então usar o cartão para rastrear o movimento do indivíduo no sistema de metrô. Tudo o que alguém precisava fazer era inserir o número do cartão no site One Metro New York (OMNY) do MTA para obter o histórico de viagens do titular da conta associado na semana anterior – sem qualquer verificação adicional.
Além de alguém ter acesso físico à carteira de outra pessoa, os números de cartão de crédito também estão facilmente disponíveis nos mercados clandestinos para quem quiser comprá-los. Um relatório divulgado pela Comparitech em agosto mostrou que o preço médio da Dark Web para informações básicas de cartão de crédito – incluindo número do cartão, CVV, data de validade e nome do titular do cartão – é de US$ 17,36. Os preços estão vinculados ao crédito disponível em um cartão roubado e chegam a centenas de dólares para cartões com limites de crédito altos. Porém, apenas comprar um número é provavelmente muito mais acessível.
Uma ameaça de perseguição
As informações do histórico de viagens do OMNY mostram apenas o ponto de entrada no sistema de metrô, não o ponto de saída. Mesmo assim, os dados são suficientes para um agressor perseguir as vítimas ou para alguém rastrear um indivíduo ou determinar onde ele pode viver, alertou o artigo da 404 Media. O relatório citou um especialista em privacidade que expressou preocupação sobre como o MTA parecia ter usado o número do cartão de crédito de um indivíduo como identificador principal e não exigia nem mesmo um PIN para autenticar essa identidade.
Em uma declaração enviada por e-mail para Dark Reading, o porta-voz do MTA, Eugene Resnick, disse que a autoridade de trânsito suspendeu temporariamente o recurso de histórico de viagens em seu site OMNY. “Esse recurso foi criado para ajudar nossos clientes que desejam acessar seus históricos de viagens tap-and-go, pagos e gratuitos, sem a necessidade de criar uma conta OMNY”, disse Resnick. “Como parte do compromisso contínuo do MTA com a privacidade do cliente , desabilitamos esse recurso enquanto avaliamos outras maneiras de atender esses clientes.”
Enquanto isso, o MTA continua a oferecer aos passageiros do metrô a opção de pagar suas viagens com dinheiro e está disposto a considerar a contribuição de especialistas em segurança sobre possíveis melhorias na opção de pagamento sem contato, observou ele.
A MTA introduziu formalmente sua opção tap-to-pay sem contato para viagens de metrô há quatro anos, em junho de 2019. A opção permite que os passageiros paguem pelas viagens usando seus cartões de crédito ou débito sem contato. Os usuários também têm a opção de usar carteiras móveis, como Google Pay e Apple Pay, para pagar as viagens , simplesmente tocando em seus dispositivos inteligentes nos leitores OMNY instalados no sistema de metrô da cidade.
O próprio MTA não armazena nem vê o número real do cartão. Em vez disso, todos os números de cartão são tokenizados – ou ofuscados – como uma precaução adicional de segurança. De acordo com o MTA, isso permite que as transações sejam processadas e os históricos de viagens sejam gerados sem que o MTA saiba o número real do cartão de crédito.
A experiência do MTA destaca alguns dos potenciais contratempos que as organizações provavelmente encontrarão ao adotarem modelos de pagamento tap-and-go nos próximos anos.
Preocupações de segurança silenciadas no momento
As tecnologias de pagamento sem contacto já existem há anos, mas a sua utilização explodiu durante a pandemia e continuou a crescer desde então. Uma postagem no blog no início deste mês feita por um executivo sênior da Fair, Isaac and Company (FICO), o principal serviço de pontuação de crédito dos EUA, estima que o valor global do mercado de pagamentos sem contato atingirá US$ 6,3 trilhões até 2028, com o Reino Unido e a Europa liderando o caminho. A publicação identificou os pagamentos sem contacto como permitindo aos bancos e comerciantes uma forma de fornecer transações mais rápidas e sem atrito, ao mesmo tempo que promovem mais conveniência e facilidade para os consumidores.
De momento, as preocupações de segurança relacionadas com a utilização da tecnologia de pagamento sem contacto são um tanto discretas e, quando existem, têm a ver principalmente com o potencial de fraude com cartões de pagamento. Como observou o blog FICO: “O tipo de fraude que ocorre no domínio dos pagamentos sem contato é atualmente bastante pouco sofisticado – a perda acidental ou roubo deliberado de um cartão de débito ou crédito. Os criminosos podem fazer várias compras até o limite antes de um O PIN é necessário.”
FONTE: DARKREADING