首页 > 资讯 > 科技 > 正文
2023-09-01 06:55

纽约地铁的乘车追踪系统存在一个可怕的安全漏洞



纽约的OMNY地铁通行证系统本应让乘客的生活更轻松,但作为一种工具,它让追踪你的行动变得有点太容易了——给任何有被跟踪或骚扰风险的人带来了危险。

如果你用银行卡乘坐地铁,OMNY网站上的“旅行历史”功能会向任何能知道你的卡号和到站日期的人显示你过去七天的旅行记录,包括时间和上车地点。由于卡号在网上或通过某人(如室友或伴侣)短暂访问钱包而泄露并不罕见,这为面临亲密伴侣暴力等问题的人们创造了一个容易错过的安全漏洞。404还能够追踪使用Apple Pay应用程序存储的银行卡乘坐地铁的人的旅行历史,尽管几名使用Apple和Google Pay乘坐地铁的Verge员工无法通过该网站找到自己的乘车历史。

纽约大都会运输局发言人尤金·雷斯尼克在一份声明中表示,大都会运输局“致力于”保护用户隐私。雷斯尼克说:“旅行历史功能让客户可以查看过去七天的付费和免费旅行历史,而无需创建OMNY账户。”“我们还为客户提供用现金支付OMNY旅行费用的选择。我们一直在寻求改进隐私,在评估可能的进一步改进时,我们会考虑安全专家的意见。”苹果和谷歌没有立即回应置评请求。

雷斯尼克指出,MTA不存储信用卡号码本身的副本(它使用与卡相关的令牌标识符),它只记录你的入口,而不是你的出口。(与某些系统不同,纽约地铁不要求乘客在出地铁时刷卡,所以这些数据根本不会被记录下来。)但是,频繁的入口仍然可能会暴露骑车人居住或工作的社区,以及他们的大致活动时间表,这足以严重损害他们的隐私。可以在OMNY的网站上创建一个账户,并将其与你的乘车历史联系起来,但The Verge还不能确认这是否会阻止仅凭卡号提取详细信息。这表明,避免被跟踪的唯一可靠方法是要么使用旧的地铁卡系统——该系统将于2024年退役——要么用现金购买一张OMNY卡,并确保其物理安全。

正如404所指出的那样,MTA可以通过要求除信用卡详细信息外的PIN或密码来提高OMNY的跟踪安全性。这可能不会完全消除风险,但它会让你更容易控制自己的驾驶记录——目前看来,这似乎很难做到。