La Autoridad de Transporte Metropolitano (MTA) de la ciudad de Nueva York anunció hoy que deshabilitará la «función» en su sitio web que permitía rastrear los movimientos de las personas ingresando la información de su tarjeta de crédito. La MTA dice que desactivará la función de historial de siete días para OMNY como parte de su compromiso con la privacidad.
«Esta función estaba destinada a ayudar a nuestros clientes que desean acceder a sus historiales de viajes tap-and-go, tanto pagos como gratuitos, sin tener que crear una cuenta OMNY», escribió el portavoz de la MTA, Eugene Resnick, en un comunicado a Engadget. «Como parte del compromiso continuo de la MTA con la privacidad del cliente, hemos desactivado esta función mientras evaluamos otras formas de atender a estos clientes».
MTA
El sitio web de OMNY incluía una página (captura de pantalla arriba) donde los pasajeros podían ingresar el número de su tarjeta de crédito y la fecha de vencimiento para ver su historial de puntos de entrada de siete días en el metro de Nueva York. Aunque estaba destinado a brindar comodidad a los usuarios, también fue “un regalo para los abusadores”, como lo describió a Engadget Eva Galperin, directora de ciberseguridad de la Electronic Frontier Foundation. José Cox de 404 Medios, que originalmente informó sobre el agujero de seguridad, rastreó con éxito los puntos de entrada de alguien (con consentimiento) utilizando la información de su tarjeta. «Si hubiera seguido monitoreando a esta persona, habría descubierto la estación de metro en la que suelen iniciar su viaje, que está cerca de donde vive», escribió Cox. “También sabría a qué hora específica esta persona puede ir al metro cada día”.
La función abrió la puerta a acosadores, ex abusadores o cualquier persona que consiguiera la tarjeta de crédito de una persona para saber dónde y cuándo entró en el metro. La función no requería un PIN ni una contraseña; aunque una sección separada permitía a los viajeros crear una cuenta más segura, estaba oculta más abajo en la página.