Обновление: недостаток MTA устранен, но вопрос об Apple Pay остался. Посмотрите конец произведения.

Обнаружена непростительная брешь в системе безопасности нью-йоркского метро, ​​позволяющая любому, кто знает номер кредитной карты пользователя и срок ее действия, отслеживать все поездки, совершенные за последние семь дней.

Но гораздо больше беспокоит то, что уязвимость распространяется на поездки, в которых Apple Pay использовалась для подключения к станциям, несмотря на то, что это должно быть совершенно невозможно…

Apple Pay Express Transit в метро Нью-Йорка

В то время как большинство систем метрополитена начиналось с требования специальных транспортных карт, большинство из них теперь также принимают бесконтактные платежные карты, которые также позволяют использовать Apple Pay.

Чтобы еще больше упростить процесс прохождения барьеров на входе и выходе, Apple позже представила Apple Pay Express Transit.

Если вы решите включить эту функцию, то обычный процесс аутентификации Apple Pay — использование Face ID на вашем iPhone или двойное нажатие боковой кнопки на разблокированных Apple Watch — не потребуется. Вместо этого вы можете просто коснуться телефона или посмотреть на панель бесконтактных платежей.

Хотя это может привести к неправомерному использованию в случае, если кто-то физически завладеет вашим устройством, транзакции отслеживаются, чтобы гарантировать, что модели использования соответствуют обычному использованию одним пользователем, поэтому риск мошенничества очень низок. Все остальные функции безопасности Apple Pay по-прежнему будут действовать, включая одноразовые коды.

Система метро Нью-Йорка начала внедрение Apple Pay Express Transit еще в мае 2019 года, а к концу 2020 года она стала доступна на всех станциях.

Ошибка в системе безопасности нью-йоркского метро

Система метро Нью-Йорка находится в ведении Столичного транспортного управления (MTA). Хотя веб-сайт MTA предлагает возможность открыть учетную запись, которая затем требует аутентификации для доступа к журналам поездок, он также предлагает мгновенный доступ к истории путешествий за последние семь дней, используя только данные карты.

Необходимы только номер кредитной карты и дата истечения срока действия – даже не трех- или четырехзначный код безопасности, также известный как CSC, CVC или CCV, который обычно находится на обратной стороне физических платежных карт. Это означает, что все необходимое для доступа к стоимости поездок за прошлую неделю можно найти на лицевой стороне большинства платежных карт.

404Media подтвердила этот недостаток конфиденциальности в метро Нью-Йорка, отслеживая пользователя – с разрешения – используя только данные его кредитной карты.

В середине дня в субботу в начале этого месяца цель добралась до нью-йоркского метро. Я знал, на какой станции они вошли в метро и в какое конкретное время. Через несколько часов они вошли на другую станцию. Если бы я продолжал следить за этим человеком, я бы вычислил станцию ​​метро, ​​с которой они часто отправляются в путь, которая находится недалеко от места их проживания. Я также хотел бы знать, в какое конкретное время этот человек может каждый день идти в метро.

Во время всего этого наблюдения меня не было рядом с гонщиком. Мне даже не пришлось видеть их собственными глазами. Вместо этого я сидел в квартире и следил за их перемещениями с помощью функции на веб-сайте Транспортного управления Нью-Йорка (MTA), которое управляет системой метро Нью-Йорка.

С их согласия я ввел данные кредитной карты пассажира — данные, которые часто легко купить на криминальных рынках или которые может быть легко получить злоумышленнику, — и ввел их на сайт MTA для OMNY, системы бесконтактных платежей в метро. система. Через несколько секунд сайт выдал историю путешествий гонщика за последние 7 дней, никакой другой проверки не потребовалось.

Каким-то образом путешествия Apple Pay также раскрываются

Apple Pay призван обеспечить защиту от такого рода ошибок. Вместо передачи фактических данных вашей платежной карты на платежный терминал подставляется одноразовый код, известный как платежная криптограмма, вместе с номером устройства.

Банк или финансовая компания может алгоритмически сопоставить эти два числа с реальным счетом карты, но ни Apple, ни продавец не должны иметь доступа к данным вашей платежной карты.

В этом случае продавцом является MTA, и он не должен видеть фактический номер вашей платежной карты. Тем не менее, сайт обнаружил, что при вводе номера физической платежной карты жертвы по-прежнему отображаются все поездки, которые они совершили с помощью Apple Pay.

404 Media обнаружило, что функция истории поездок MTA по-прежнему работает, даже когда пользователь платит с помощью Apple Pay.

Apple сообщила 404 Media, что не хранит и не имеет доступа к номерам использованных карт и не предоставляет их торговцам, включая транзитные системы.

Apple не ответила на просьбу разъяснить, как работает функция веб-сайта MTA, когда пассажир использует Apple Pay.

Мнение

Сбои в обеспечении безопасности MTA здесь непростительны. Это совершенно глупое решение разрешить запросы истории путешествий без аутентификации. Как говорится в статье, это серьезное нарушение конфиденциальности, которым легко злоупотребляют сталкеры.

Но гораздо большее беспокойство вызывает то, что фактические данные платежной карты каким-то образом собираются при использовании Apple Pay.

Предполагается, что это основное требование безопасности и конфиденциальности Apple Pay, согласно которому ни продавец, ни Apple никогда не смогут увидеть реальные данные вашей карты, а только код, который отличается для каждой отдельной транзакции. Это означает, например, что если базы данных компании взломаны и получены данные кредитной карты, для покупок Apple Pay будут доступны только одноразовые коды и номера устройств, что сделает данные бесполезными.

Этот тест, если его повторят другие, по-видимому, указывает на то, что существуют обстоятельства, при которых транзакции Apple Pay могут передавать продавцу фактические данные физической карты. Это абсолютно невозможно и требует немедленного расследования со стороны Apple.

Обновление: 1 сентября

Engadget сообщает, что MTA отключило функцию поиска без аутентификации.

«Эта функция была призвана помочь нашим клиентам, которые хотят получить доступ к своим историям поездок, как платным, так и бесплатным, без необходимости создавать учетную запись OMNY», — написал представитель MTA Юджин Резник в заявлении для Engadget. «В рамках постоянной приверженности MTA обеспечению конфиденциальности клиентов мы отключили эту функцию, пока рассматриваем другие способы обслуживания этих клиентов».

Это до сих пор оставляет без ответа вопрос о том, как транзакции Apple Pay раскрывают номера физических карт. Некоторые полагают, что экспресс-транзит является исключением из подхода с использованием одноразового кода, чтобы отслеживать вход и выход в метро со шлагбаумами на обоих концах. Однако это не имеет смысла, поскольку для этой цели будет достаточно номера устройства.

Мы обратились к Apple за комментариями и будем сообщать о любом ответе.

Фото: MTA/CC2.0

Обнаружена непростительная брешь в системе безопасности нью-йоркского метро, ​​позволяющая любому, кто знает номер кредитной карты пользователя и срок ее действия, отслеживать все поездки, совершенные за последние семь дней.

Но гораздо больше беспокоит то, что уязвимость распространяется на поездки, в которых Apple Pay использовалась для подключения к станциям, несмотря на то, что это должно быть совершенно невозможно…

Apple Pay Express Transit в метро Нью-Йорка

В то время как большинство систем метрополитена начиналось с требования специальных транспортных карт, большинство из них теперь также принимают бесконтактные платежные карты, которые также позволяют использовать Apple Pay.

Чтобы еще больше упростить процесс прохождения барьеров на входе и выходе, Apple позже представила Apple Pay Express Transit.

Если вы решите включить эту функцию, то обычный процесс аутентификации Apple Pay — использование Face ID на вашем iPhone или двойное нажатие боковой кнопки на разблокированных Apple Watch — не потребуется. Вместо этого вы можете просто коснуться телефона или посмотреть на панель бесконтактных платежей.

Хотя это может привести к неправомерному использованию в случае, если кто-то физически завладеет вашим устройством, транзакции отслеживаются, чтобы гарантировать, что модели использования соответствуют обычному использованию одним пользователем, поэтому риск мошенничества очень низок. Все остальные функции безопасности Apple Pay по-прежнему будут действовать, включая одноразовые коды.

Система метро Нью-Йорка начала внедрение Apple Pay Express Transit еще в мае 2019 года, а к концу 2020 года она стала доступна на всех станциях.

Ошибка в системе безопасности нью-йоркского метро

Система метро Нью-Йорка находится в ведении Столичного транспортного управления (MTA). Хотя веб-сайт MTA предлагает возможность открыть учетную запись, которая затем требует аутентификации для доступа к журналам поездок, он также предлагает мгновенный доступ к истории путешествий за последние семь дней, используя только данные карты.

Необходимы только номер кредитной карты и дата истечения срока действия – даже не трех- или четырехзначный код безопасности, также известный как CSC, CVC или CCV, который обычно находится на обратной стороне физических платежных карт. Это означает, что все необходимое для доступа к стоимости поездок за прошлую неделю можно найти на лицевой стороне большинства платежных карт.

404Media подтвердила этот недостаток конфиденциальности в метро Нью-Йорка, отслеживая пользователя – с разрешения – используя только данные его кредитной карты.

В середине дня в субботу в начале этого месяца цель добралась до нью-йоркского метро. Я знал, на какой станции они вошли в метро и в какое конкретное время. Через несколько часов они вошли на другую станцию. Если бы я продолжал следить за этим человеком, я бы вычислил станцию ​​метро, ​​с которой они часто отправляются в путь, которая находится недалеко от места их проживания. Я также хотел бы знать, в какое конкретное время этот человек может каждый день идти в метро.

Во время всего этого наблюдения меня не было рядом с гонщиком. Мне даже не пришлось видеть их собственными глазами. Вместо этого я сидел в квартире и следил за их перемещениями с помощью функции на веб-сайте Транспортного управления Нью-Йорка (MTA), которое управляет системой метро Нью-Йорка.

С их согласия я ввел данные кредитной карты пассажира — данные, которые часто легко купить на криминальных рынках или которые может быть легко получить злоумышленнику, — и ввел их на сайт MTA для OMNY, системы бесконтактных платежей в метро. система. Через несколько секунд сайт выдал историю путешествий гонщика за последние 7 дней, никакой другой проверки не потребовалось.

Каким-то образом путешествия Apple Pay также раскрываются

Apple Pay призван обеспечить защиту от такого рода ошибок. Вместо передачи фактических данных вашей платежной карты на платежный терминал подставляется одноразовый код, известный как платежная криптограмма, вместе с номером устройства.

Банк или финансовая компания может алгоритмически сопоставить эти два числа с реальным счетом карты, но ни Apple, ни продавец не должны иметь доступа к данным вашей платежной карты.

В этом случае продавцом является MTA, и он не должен видеть фактический номер вашей платежной карты. Тем не менее, сайт обнаружил, что при вводе номера физической платежной карты жертвы по-прежнему отображаются все поездки, которые они совершили с помощью Apple Pay.

404 Media обнаружило, что функция истории поездок MTA по-прежнему работает, даже когда пользователь платит с помощью Apple Pay.

Apple сообщила 404 Media, что не хранит и не имеет доступа к номерам использованных карт и не предоставляет их торговцам, включая транзитные системы.

Apple не ответила на просьбу разъяснить, как работает функция веб-сайта MTA, когда пассажир использует Apple Pay.

Мнение

Сбои в обеспечении безопасности MTA здесь непростительны. Это совершенно глупое решение разрешить запросы истории путешествий без аутентификации. Как говорится в статье, это серьезное нарушение конфиденциальности, которым легко злоупотребляют сталкеры.

Но гораздо большее беспокойство вызывает то, что фактические данные платежной карты каким-то образом собираются при использовании Apple Pay.

Предполагается, что это основное требование безопасности и конфиденциальности Apple Pay, согласно которому ни продавец, ни Apple никогда не смогут увидеть реальные данные вашей карты, а только код, который отличается для каждой отдельной транзакции. Это означает, например, что если базы данных компании взломаны и получены данные кредитной карты, для покупок Apple Pay будут доступны только одноразовые коды и номера устройств, что сделает данные бесполезными.

Этот тест, если его повторят другие, по-видимому, указывает на то, что существуют обстоятельства, при которых транзакции Apple Pay могут передавать продавцу фактические данные физической карты. Это абсолютно невозможно и требует немедленного расследования со стороны Apple.

Фото: MTA/CC2.0