纽约的MTA旋转门

　　一名能够追踪人们在纽约市使用MTA地铁系统的研究人员表示，同样的方法揭示了Apple Pay的漏洞，但目前尚不清楚这是否属实。

　　早在2020年，纽约就在推迟了苹果快速公交服务的计划后，在所有地铁站增加了对Apple Pay的支持。

　　现在，404media的约瑟夫·考克斯(Joseph Cox)声称，他在MTA系统中发现了一个非常薄弱的漏洞，这个漏洞也会危及Apple Pay。考克斯回忆说，他曾追踪过一位使用信用卡详细信息的旅行者，但没有进一步解释，他说，如果他用看似安全得多的Apple Pay支付，也有可能做到这一点。

　　考克斯写道:“我坐在公寓里，通过运营纽约市地铁系统的大都会运输管理局(MTA)网站上的一个功能跟踪他们的活动。”“在他们的同意下，我输入了乘客的信用卡详细信息——这些数据通常很容易在犯罪市场上买到，或者很容易被恶意的合作伙伴获得——并将其输入MTA的OMNY网站，这是地铁的非接触式服务。支付系统”。

　　“几秒钟后，”他继续说道，“网站给出了乘客过去7天的旅行记录，不需要其他验证。”

　　如果这是真的，那么这无疑是MTA的一个重大安全问题。在给考克斯的一封电子邮件中强调，该公司“致力于保护客户隐私”，MTA指出，它只记录旅客的入境点，而不是出境点。

　　然而，这是荒谬的，因为跟踪者或其他罪犯可以简单地等待旅行者返程，他们可能会有他们的整个行程。

　　所以MTA系统是有缺陷的，但真正的问题在于Apple Pay，因为它应该不受任何与信用卡相关的安全问题的影响。在交易时，Apple Pay根本不会传输用户的信用卡信息，而是提供一次性验证码。

　　因此，考克斯得出结论，因为他或其他404media员工声称他们可以在使用Apple Pay时执行同样的跟踪，所以Apple Pay受到了损害。

　　然而，其结果尚未重现——而且还有一个问题是，这笔交易的本质是什么。

　　考克斯对这个问题不是很清楚，但他说，他所要做的就是输入用户的信用卡信息来访问MTA的历史记录。这很可能与用户在OMNY MTA非接触式支付系统中注册的卡片详细信息相同。

　　因此，如果旅客用苹果卡办理了入住手续，那么如果该账户的付款是在转门处发起的，这似乎并不是一种妥协。

　　考克斯写道:“当乘客使用Apple Pay时，我要求苹果公司澄清MTA网站功能是如何工作的，但苹果公司没有回应。”