此前有报导披露,大都会运输署(MTA)官方网站的技术漏洞,会导致使用OMNY系统支付车费的用户行程信息等个人隐私存在暴露风险。目前,MTA官网已撤下了存在资安风险的功能。
科技媒体「404 Media」日前发布调查报导指出,OMNY网站有一个「查找行程纪录」(Securely access your trip history)的功能,点击进入后,用户可以查找自己在一周之内的刷卡次数,以便其估算12次「票价封顶」优惠挑战的完成情况。
这项功能主要面向将信用卡或电子支付绑定了OMNY支付系统的用户。为了方便不愿使用电子邮件地址和密码注册的用户,让没有注册帐户的用户仅输入信用卡或其他支付用卡的卡号,即可查找到最近每次刷卡付费的时间和地点,MTA并未设置强度更高的资安保护措施。
而在现实中,信用卡卡号并非私密度很高的身分信息,身分盗窃者很容易就能获取他人的卡号。因此,OMNY系统的这个原本意在方便用户的功能在不经意间,就成了一个个人隐私泄露的破口。
纽约公民自由联盟(New York Civil Liberties Union)的隐私与技术策略师施瓦茨(Daniel Schwarz)表示,个人行程纪录有可能勾勒出一个人何时去上班、何时可能去见某人,这对于跟踪狂或任何怀有恶意的人来说都是一座「金矿」。
为了证实漏洞的存在,「404 Media」委托了专人亲自进入地铁刷卡试验,并从后方成功地获取了受试者的详细行程纪录。对于使用预充值式实体OMNY卡的用户来说,充值和查找都必须先注册有密码的帐户,因此暂不受影响。
起初MTA仅表示其「一直在努力改善隐私保护」,并未给出任何实质性的内容。不过8月31日,OMNY系统网站已无法找到免密码登录的行程纪录查找功能,任何与金额和使用记录有关的操作都必须先使用帐户和密码登录才能继续。MTA发言人雷斯尼克(Eugene Resnick)透露,MTA已经禁用了这项可能导致资安隐患的功能。
根据MTA的数据,目前全市有超过40%的公共交通乘客使用OMNY系统付费。雷斯尼克推荐用户使用预付费的实体卡以避免可能的资安风险,不过,实体卡目前仅在包括CVS、Walgreens等数量有限的一些第三方零售商处有售,且购卡成本需要5元,比旧式Metro Card地铁卡要高出不少。
扫描二维码关注微信