“Vận chuyển công cộng của New York vô hiệu hóa tính năng giúp theo dõi hành khách trên tàu điện ngầm”
Hôm nay, Cơ quan Vận chuyển Metropolitan của New York (MTA) đã thông báo vô hiệu hóa “tính năng” trên trang web của họ, cho phép theo dõi các thông tin di chuyển của người dân bằng cách nhập thông tin thẻ tín dụng. MTA cho biết đang tắt tính năng lưu trữ thông tin trong vòng 7 ngày cho OMNY nhằm cam kết bảo mật thông tin cá nhân.
“Tính năng này được thiết kế để giúp khách hàng muốn truy cập vào lịch sử chuyến đi chỉ với việc đặt và bỏ thẻ, bao gồm cả thanh toán và miễn phí, mà không cần tạo tài khoản OMNY,” nhà phát ngôn MTA Eugene Resnick viết trong một tuyên bố gửi đến Engadget. “Nhằm duy trì cam kết bảo mật thông tin khách hàng của MTA, chúng tôi đã vô hiệu hóa tính năng này trong khi đánh giá các cách khác để phục vụ khách hàng này.”
Trang web OMNY đã bao gồm một trang (như hình ảnh trên) cho phép hành khách nhập thông tin thẻ tín dụng để xem lịch sử điểm vào trong vòng 7 ngày trên tuyến tàu điện ngầm ở New York. Mặc dù được thiết kế để tiện lợi cho người dùng, nó cũng “là một món quà cho những người sử dụng sai mục đích,” như Eva Galperin, giám đốc an ninh mạng của Tổ chức Electronic Frontier Foundation, mô tả cho Engadget. Joseph Cox của 404 Media, người đầu tiên báo cáo lỗ hổng bảo mật này, đã thành công trong việc theo dõi điểm vào của một người (với sự đồng ý) bằng việc sử dụng thông tin thẻ tín dụng của họ. “Nếu tôi tiếp tục giám sát người này, tôi sẽ tìm ra ga tàu điện ngầm mà họ thường bắt đầu hành trình, gần nơi họ sống,” Cox viết. “Tôi cũng sẽ biết được giờ cụ thể người này thường đi tàu mỗi ngày.”
Tính năng này mở cửa cho những kẻ theo dõi, những người cũng như những kẻ xâm hại giới tính hoặc bất kỳ ai có được thông tin thẻ tín dụng của một người để tìm hiểu địa điểm và thời gian họ lên tàu điện ngầm. Tính năng này không yêu cầu mã PIN hay mật khẩu; mặc dù có một phần riêng để người đi du lịch tạo một tài khoản an toàn hơn, nhưng nó lại được đặt ở cuối trang.
#MTA #OMNY #bảovệthôngtincánhân #tàuđiệnngầm #NewYork
New York City’s Metropolitan Transportation Authority (MTA) announced today that it’s disabling the “feature” on its website that made it possible to track people’s movements by entering their credit card info. The MTA says it’s turning off the seven-day history feature for OMNY as part of its commitment to privacy.
“This feature was meant to help our customers who want access to their tap-and-go trip histories, both paid and free, without having to create an OMNY account,” MTA spokesperson Eugene Resnick wrote in a statement to Engadget. “As part of the MTA’s ongoing commitment to customer privacy, we have disabled this feature while we evaluate other ways to serve these customers.”
MTA
The OMNY website included a page (screenshotted above) where passengers could enter their credit card number and expiration date to view their seven-day point-of-entry history across NYC’s subways. Although intended to provide convenience for users, it was also “a gift for abusers,” as Eva Galperin, the Electronic Frontier Foundation’s director of cybersecurity, described it to Engadget. Joseph Cox of 404 Media, which originally reported on the security hole, successfully tracked someone’s entry points (with consent) using their card info. “If I had kept monitoring this person, I would have figured out the subway station they often start a journey at, which is near where they live,” Cox wrote. “I would also know what specific time this person may go to the subway each day.”
The feature opened the door to stalkers, abusive exes or anyone who got a person’s credit card to find out where and when they entered the subway. The feature didn’t require a PIN or password; although a separate section allowed travelers to create a more secure account, it was buried farther down the page.
[ad_2]
