OMNY支付爆資安風險 MTA緊急修復

此前有報導披露，大都會運輸署(MTA)官方網站的技術漏洞，會導致使用OMNY系統支付車費的用戶行程信息等個人隱私存在暴露風險。目前，MTA官網已撤下了存在資安風險的功能。

科技媒體「404 Media」日前發布調查報導指出，OMNY網站有一個「查詢行程紀錄」(Securely access your trip history)的功能，點擊進入後，用戶可以查詢自己在一周之內的刷卡次數，以便其估算12次「票價封頂」優惠挑戰的完成情況。

這項功能主要面向將信用卡或電子支付綁定了OMNY支付系統的用戶。為了方便不願使用電子郵件地址和密碼註冊的用戶，讓沒有註冊帳戶的用戶僅輸入信用卡或其他支付用卡的卡號，即可查詢到最近每次刷卡付費的時間和地點，MTA並未設置強度更高的資安保護措施。

而在現實中，信用卡卡號並非私密度很高的身分信息，身分盜竊者很容易就能獲取他人的卡號。因此，OMNY系統的這個原本意在方便用戶的功能在不經意間，就成了一個個人隱私洩露的破口。

紐約公民自由聯盟(New York Civil Liberties Union)的隱私與技術策略師施瓦茨(Daniel Schwarz)表示，個人行程紀錄有可能勾勒出一個人何時去上班、何時可能去見某人，這對於跟蹤狂或任何懷有惡意的人來說都是一座「金礦」。

為了證實漏洞的存在，「404 Media」委託了專人親自進入地鐵刷卡試驗，並從後方成功地獲取了受試者的詳細行程紀錄。對於使用預充值式實體OMNY卡的用戶來說，充值和查詢都必須先註冊有密碼的帳戶，因此暫不受影響。

起初MTA僅表示其「一直在努力改善隱私保護」，並未給出任何實質性的內容。不過8月31日，OMNY系統網站已無法找到免密碼登錄的行程紀錄查詢功能，任何與金額和使用記錄有關的操作都必須先使用帳戶和密碼登錄才能繼續。MTA發言人雷斯尼克(Eugene Resnick)透露，MTA已經禁用了這項可能導致資安隱患的功能。

根據MTA的數據，目前全市有超過40%的公共交通乘客使用OMNY系統付費。雷斯尼克推薦用戶使用預付費的實體卡以避免可能的資安風險，不過，實體卡目前僅在包括CVS、Walgreens等數量有限的一些第三方零售商處有售，且購卡成本需要5元，比舊式Metro Card地鐵卡要高出不少。

更多世界日報報導
紐約華女深夜遭推落軌 「月台那麼多人 為何偏偏是我？」
颶風來襲 長島多處海灘暫時關閉
加州新冠住院月增81% 又一傳染高峰到