Atualização: A falha do MTA foi eliminada, mas a questão do Apple Pay permanece. Veja o final da peça.
Uma falha indesculpável na segurança do metrô de Nova York foi revelada, permitindo que qualquer pessoa com conhecimento do número do cartão de crédito e da data de validade de um usuário rastreie todas as viagens feitas nos últimos sete dias.
Mas o que é muito mais preocupante é que a vulnerabilidade se aplica a viagens em que o Apple Pay foi usado para acessar estações, apesar do fato de que isso deveria ser completamente impossível…
Apple Pay Express Transit no metrô de Nova York
Embora a maioria dos sistemas de metrô tenham começado exigindo cartões de transporte dedicados, a maioria agora também aceita cartões de pagamento sem contato, o que também permite o uso do Apple Pay.
Para agilizar ainda mais o processo de passagem pelas barreiras de entrada e saída, a Apple lançou posteriormente o Apple Pay Express Transit.
Se você optar por ativar o recurso, o processo normal de autenticação do Apple Pay – usando Face ID com seu iPhone ou pressionando duas vezes o botão lateral em seu Apple Watch desbloqueado – não será necessário. Em vez disso, você pode simplesmente tocar seu telefone ou assistir no painel de pagamento sem contato.
Embora isso possa permitir o uso indevido no caso de alguém tomar posse física do seu dispositivo, as transações são monitoradas para garantir que os padrões de uso sejam consistentes com o uso normal por um único usuário, de modo que o risco de fraude seja muito baixo. Todos os outros recursos de segurança do Apple Pay ainda devem ser aplicados, incluindo códigos de uso único.
O sistema de metrô da cidade de Nova York começou a implementar o Apple Pay Express Transit em maio de 2019 e estava disponível em todas as estações no final de 2020.
Falha na segurança do metrô de Nova York
O sistema de metrô de Nova York é administrado pela Metropolitan Transportation Authority (MTA). Embora o site do MTA ofereça a capacidade de abrir uma conta, que então requer autenticação para acessar os registros da viagem, ele também oferece acesso instantâneo aos últimos sete dias do histórico de viagens usando nada mais do que detalhes do cartão.
São necessários apenas o número do cartão de crédito e a data de validade – nem mesmo o código de segurança de três ou quatro dígitos, também conhecido como CSC, CVC ou CCV, que geralmente é encontrado no verso dos cartões de pagamento físicos. Isso significa que tudo o que você precisa para acessar as viagens da última semana pode ser encontrado na frente da maioria dos cartões de pagamento.
404Mídia confirmou essa falha de privacidade no metrô de Nova York rastreando um usuário – com permissão – usando nada mais do que os detalhes do cartão de crédito.
No meio da tarde de um sábado no início deste mês, o alvo entrou no metrô de Nova York. Eu sabia em que estação eles entravam no metrô e em que horário específico. Eles então entraram em outra estação algumas horas depois. Se eu tivesse continuado monitorando essa pessoa, teria descoberto a estação de metrô onde ela costuma iniciar a viagem, que fica perto de onde ela mora. Eu também saberia a que horas específicas essa pessoa pode ir ao metrô todos os dias.
Durante todo esse monitoramento, não estive nem perto do piloto. Eu nem precisei vê-los com meus próprios olhos. Em vez disso, eu estava sentado dentro de um apartamento, acompanhando seus movimentos por meio de um artigo no site da Metropolitan Transportation Authority (MTA), que administra o sistema de metrô da cidade de Nova York.
Com o consentimento deles, eu inseri as informações do cartão de crédito do passageiro – dados que muitas vezes são fáceis de comprar em mercados criminosos ou que podem ser triviais para um parceiro abusivo obter – e inseri-os no site do MTA para OMNY, o sistema de pagamentos sem contato do metrô. sistema. Depois de alguns segundos, o site exibiu o histórico de viagens do passageiro nos últimos 7 dias, sem necessidade de outra verificação.
De alguma forma, as jornadas do Apple Pay também estão expostas
Apple Pay é projetado para oferecer proteção contra esse tipo de falha. Em vez de os dados reais do seu cartão de pagamento serem transmitidos para um terminal de pagamento, um código de uso único é substituído, conhecido como criptograma de pagamento, juntamente com um número de dispositivo.
O banco ou a financeira são capazes de reconciliar algoritmicamente esses dois números com a conta real do cartão, mas nem a Apple nem o comerciante devem ter acesso aos detalhes do seu cartão de pagamento.
Nesse caso, o comerciante é o MTA e não deverá conseguir ver o número real do seu cartão de pagamento. Mesmo assim, o site descobriu que inserir o número do cartão de pagamento físico do alvo ainda revelava todas as viagens que eles fizeram usando o Apple Pay.
A 404 Media descobriu que o recurso de histórico de viagens do MTA ainda funciona mesmo quando o usuário paga com Apple Pay.
A Apple disse à 404 Media que não armazena nem tem acesso aos números dos cartões usados e não os fornece aos comerciantes, incluindo sistemas de trânsito.
A Apple não respondeu quando solicitada a esclarecer como funciona o recurso do site MTA quando um passageiro usa o Apple Pay.
A opinião de 9to5Mac
A falha de segurança do MTA aqui é indesculpável. É uma decisão completamente estúpida permitir solicitações de histórico de viagens não autenticadas. Como diz o artigo, esta é uma falha enorme de privacidade que é facilmente abusada por perseguidores.
Mas o que é muito mais preocupante é que os detalhes reais do cartão de pagamento estão sendo coletados de alguma forma quando o Apple Pay é usado.
Supõe-se que seja um requisito básico de segurança e privacidade do Apple Pay que nem o comerciante nem a Apple consigam ver os detalhes reais do seu cartão, apenas um código que é diferente para cada transação. Isso significa, por exemplo, que se os bancos de dados de uma empresa forem hackeados e os detalhes do cartão de crédito forem obtidos, apenas os códigos de uso único e os números dos dispositivos serão expostos para compras no Apple Pay, tornando os dados inúteis.
Este teste – se replicado por outros – parece indicar que há circunstâncias em que as transações do Apple Pay podem transmitir o detalhes reais do cartão físico para um comerciante. Isso não deveria ser possível de forma alguma e requer investigação imediata por parte da Apple.
Atualização: 1º de setembro
Engajamento relata que o MTA desativou o recurso de pesquisa não autenticada.
“Esse recurso foi criado para ajudar nossos clientes que desejam acessar seus históricos de viagens tap-and-go, pagos e gratuitos, sem a necessidade de criar uma conta OMNY”, escreveu o porta-voz do MTA, Eugene Resnick, em um comunicado ao Engadget. “Como parte do compromisso contínuo do MTA com a privacidade do cliente, desativamos esse recurso enquanto avaliamos outras formas de atender esses clientes.”
Isso ainda deixa sem resposta a questão de como as transações do Apple Pay revelaram números de cartões físicos. Alguns sugeriram que o Transporte Expresso é uma exceção à abordagem de código único, a fim de rastrear a entrada e a saída em sistemas de metrô com barreiras em ambas as extremidades. No entanto, isto não faz sentido, pois o número do dispositivo seria suficiente para este propósito.
Entramos em contato com a Apple para comentar e atualizaremos com qualquer resposta.
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.
