紐約地鐵乘車追蹤器存在嚴重安全漏洞
背景
紐約地鐵的 OMNY 乘車系統應該能夠提供乘客更便利的服務,但一項 404 媒體的調查發現,它讓追蹤你的行動變得太容易,對於可能受到跟蹤或騷擾威脅的人帶來了危險。如果你使用銀行卡乘坐地鐵,OMNY 網站上的“乘車歷史”功能會向任何擁有你的卡號和到期日的人顯示過去七天的乘車記錄,包括進站的時間和車站。由於銀行卡號碼線上上或者透過某個人(如室友或夥伴)短暫接觸錢包可能被泄露,這就產生了一個容易被忽視的安全漏洞,對於受到親密伴侶暴力等威脅的人來說十分危險。
個人隱私的受到威脅
404 還發現,使用儲存在 Apple Pay 應用程式中的銀行卡乘坐地鐵的人的乘車歷史也可以被追蹤。儘管使用 Apple 和 Google Pay 乘坐地鐵的一些 The Verge 工作人員無法透過該網站找到自己的乘車歷史。紐約大都會交通局(MTA)發言人 Eugene Resnick 在一份宣告中表示 MTA“致力於”保護使用者的隱私。Resnick 表示:“乘車歷史功能為客戶提供了一種方法,可以檢視過去七天的付費和免費乘車歷史,而無需建立 OMNY 帳戶。我們也為客戶提供使用現金支付 OMNY 旅行的選擇。我們一直在努力提升隱私保護水平,並將在評估潛在進一步改進措施時考慮安全專家的意見。”
Resnick 指出,MTA 並不儲存信用卡號本身的副本(而是使用與卡片聯動的令牌識別符號),並且只記錄進站的站點,而不記錄出站站點。(不同於一些系統,紐約市的地鐵系統在乘客出站時不需刷卡,所以這些資料根本沒有記錄到。)但是經常進出同一站點的人可能會透露出他們居住或工作的社區以及他們的活動時間表,這足以嚴重損害他們的隱私。
如何避免追蹤
要避免被追蹤,當前唯一確保的方法是使用舊的 MetroCard 系統(該系統將於 2024 年退役)或以現金購買 OMNY 卡片並妥善保管。如 404 所指出,MTA 可以透過要求除卡片詳細訊息外,還要求輸入 PIN 碼或密碼的方式來提高 OMNY 追蹤的安全性。這可能無法完全消除風險,但會更容易掌握自己的乘車歷史記錄。當前這似乎是非常困難的。
評論和建議
紐約地鐵乘車追蹤器存在的安全漏洞引發了對個人隱私的擔憂。即使 MTA 聲稱致力於保護使用者的隱私,但事實上乘客們對於他們的乘車記錄是否被滲透並被濫用並不能太過擔心。
在個人隱私和安全的問題上,政府和相關機構應該採取更積極的行動。首先 MTA 應該盡快採取措施修改 OMNY 乘車系統,要求使用者在使用卡片之外還要輸入 PIN 碼或密碼,以增加安全性。這不僅能夠保護個人隱私,還能為受到威脅的人提供更多的裨益。
同時政府和法律制定者也應該規定更嚴格的法規和監管標準,以保護個人隱私。這樣可以確保當出現類似安全漏洞時,相關機構不僅能夠及時發現和解決問題,還能夠對侵犯個人隱私行為進行懲罰。
對於使用 OMNY 乘車的乘客,建議他們主動保護自己的個人隱私。如果你的卡號有輕微曝露的風險,可以考慮更換新的卡片或者與銀行聯絡更換卡號,從根本上消除隱私洩露的風險。同時應該定期檢查自己的銀行卡記錄,及時發現和處理任何異常情況。
保護個人隱私是每個人的權利,也是政府和相關機構的責任。我們應該透過技術和法律手段來確保個人隱私的安全,以使人們能夠在數位時代獲得更安全和更自由的環境。
延伸閱讀
- 「Backline 自動修復安全漏洞,為您保駕護航!」
- HPE 遭駭客聲稱竊取敏感資料,安全漏洞調查拉警報!
- 駭客入侵!Stiiizy 大麻公司客戶身份證實檔案遭竊,安全漏洞大曝光!
- Fortinet 確認客戶資料外洩!揭露安全漏洞背後的隱憂
- CrowdStrike 面對法律狂潮!軟體更新缺陷引發訴訟風暴
- 安全漏洞助力六家公司逃過勒索病毒勒索金,如何做到的?
- WazirX 2300 萬美元安全漏洞損失將向使用者「社交化」分攤!
- 印度 WazirX 確認安全漏洞!2.3 億美元「可疑轉帳」案震撼登場
- 2024 年最大的資料洩露事件:10 億條記錄被盜並不斷增加
- HubSpot 調查客戶帳戶駭客攻擊
