Uma falha de segurança descoberta no sistema de pagamentos do metrô da cidade de Nova York (Estados Unidos), o OMNY (One Metro New York), pode muito bem ter revelado uma outra vulnerabilidade tão grave quanto, só que no Apple Pay.
De acordo com o pesquisador Joseph Cox, do 404 Media, o site do sistema de pagamentos utilizado pelo metrô da famosa cidade americana possui um recurso que deixa os seus usuários visualizarem o seu histórico de viagens dos últimos sete dias. O problema, de acordo com ele, é que o recurso pede apenas os dados do cartão de crédito do usuário para exibir as informações — ou seja, nada de senhas, PINs ou coisas do tipo.
A falta de um sistema de verificação da identidade do usuário, de acordo com Cox, abre margem para que alguém mal-intencionado use os dados do cartão de outra pessoa para rastreá-la e, eventualmente, descobrir detalhes como o seu endereço e aprender sobre sua rotina. Como destacado pelo pesquisador, essa vulnerabilidade pode ser explorada, por exemplo, por parceiros abusivos e criminosos que compram dados de cartões de crédito vazados de sites ilegais.
Se eu tivesse continuado monitorando essa pessoa, eu teria descoberto a estação de metrô em que ela costuma começar uma viagem, que também é perto de onde ela mora. Eu também saberia o horário específico em que essa pessoa costuma ir ao metrô todos os dias.
O problema, entretanto, não para por aí. Segundo Cox, essa vulnerabilidade também pode ser usada para rastrear pessoas que usam sistemas como o Google Pay e o Apple Pay para viajar pelo metrô de Nova York. Essa informação é especialmente preocupante pois, de acordo com Maçã, o seu sistema de pagamento não compartilha os dados reais do cartão do usuário com o recebedor do pagamento; em vez disso, o recurso compartilha um número virtual para proteger as suas informações.
Em outras palavras, isso indica que o Apple Pay, assim como o Google Pay, está sim deixando vazar as informações de cartões de crédito de seus usuários sob certas circunstâncias, as quais ainda são desconhecidas. O sistema de pagamentos da Maçã, vale notar, passou a ser aceito em todas as estações de metrô de Nova York em 2021.
Ao Engadget, Eva Galperin, ativista e diretora de cibersegurança da Electronic Frontier Foundation (EFF), ressaltou a gravidade da vulnerabilidade e disse que o metrô de Nova York poderia resolvê-la com uma simples senha:
Isso é um presente para abusadores. É um problema real que a opção de rastrear sua localização — sem qualquer tipo de segurança de senha — esteja disponível primeiro no site.
Em resposta ao 404 Media, a gigante de Cupertino disse que não armazena ou tem acesso aos dados dos cartões dos seus usuários, tampouco os compartilha com comerciantes (nesse caso, o OMNY). A empresa, contudo, não explicou como o recurso de histórico do metrô de Nova York funciona com pagamento feitos com o Apple Pay.
A Metropolitan Transportation Authority (MTA), órgão responsável por administrar o metrô da cidade americana, por sua vez, disse que está está “comprometido em manter a privacidade do cliente” e que também os dá “a opção de pagar por sua viagem OMNY com dinheiro”. Eles prometeram ainda que vão considerar as observações do pesquisador e avaliar “possíveis melhorias adicionais”.
Caso alguém consiga replicar a vulnerabilidade com o Apple Pay, a Maçã com certeza terá que investigar melhor o caso. Acompanhemos, portanto.
Atualização31/08/2023 às 17:30
De acordo com informações do The Verge, a MTA desativou o recurso do OMNY que permitia visualizar histórico de viagens de passageiros do metrô de Nova York usando apenas as informações do seu cartão de crédito.
Em resposta ao veículo, Eugene Resnick, porta-voz da empresa, afirmou que a decisão de suspender a ferramenta faz parte do “compromisso contínuo” que a MTA tem com a privacidade dos seus usuários. Ele também disse que “outras maneiras” de atender os clientes do OMNY serão avaliadas.
