3 de septiembre de 2023

Al parecer, se ha descubierto una brecha de seguridad en el sistema del metro de Nueva York que aparentemente expone una vulnerabilidad «imposible» en Apple Pay.

Al parecer, se ha descubierto una brecha de seguridad en el sistema del metro de Nueva York que aparentemente expone una vulnerabilidad «imposible» en Apple Pay.

Actualización: Se ha corregido la falla de seguridad del MTA, pero aún queda la incógnita sobre Apple Pay. Consulta el final del artículo.

Falla de seguridad en el metro de Nueva York expone el historial de viajes
Se ha descubierto una grave falla de seguridad en el sistema de metro de Nueva York que permite rastrear los viajes de cualquier usuario en los últimos siete días, si se conoce el número de tarjeta de crédito y la fecha de vencimiento. Lo preocupante es que esta vulnerabilidad también se aplica a los viajes realizados con Apple Pay, a pesar de que esto debería ser imposible.

Apple Pay Express Transit en el metro de Nueva York
La mayoría de los sistemas de metro ahora aceptan tarjetas de pago sin contacto, lo que incluye Apple Pay. Para agilizar el proceso de acceso a las estaciones, Apple introdujo Apple Pay Express Transit. Esta función permite pasar por las barreras de entrada y salida sin la autenticación habitual de Apple Pay, simplemente tocando el teléfono o reloj contra el lector de pagos sin contacto. Aunque esto podría ser utilizado de forma indebida si alguien toma posesión física del dispositivo, las transacciones se supervisan para detectar patrones de uso consistentes con un solo pasajero, por lo que el riesgo de fraude es bajo.

Falla de seguridad en el metro de Nueva York
El sistema de metro de Nueva York es administrado por la Autoridad Metropolitana de Transporte (MTA). Aunque el sitio web de MTA requiere autenticación para acceder a los registros de viaje, también ofrece acceso inmediato al historial de viajes de los últimos siete días solo con los detalles de la tarjeta. Solo se necesitan el número de tarjeta de crédito y la fecha de vencimiento, sin el código de seguridad de tres o cuatro dígitos. Esto significa que toda la información necesaria para acceder al historial de viajes se encuentra en el frente de la mayoría de las tarjetas de pago.

404 Media confirmó esta falla de privacidad rastreando a un usuario utilizando solo los detalles de su tarjeta de crédito. Con su consentimiento, ingresaron la información de la tarjeta en el sitio web de MTA para acceder al historial de viajes del último 7 días, sin necesidad de ninguna otra verificación. Esto revela una grave falla de privacidad que podría ser utilizada por acosadores.

Falla de seguridad en Apple Pay
Apple Pay está diseñado para ofrecer protección contra este tipo de fallas. En lugar de transmitir los detalles reales de la tarjeta de pago, se utiliza un código de un solo uso junto con un número de dispositivo. Sin embargo, se descubrió que al ingresar el número de la tarjeta física en el sitio web de MTA, se revelaban los viajes realizados con Apple Pay. Esto significa que los detalles reales de la tarjeta se están recopilando de alguna manera, lo cual es una violación de la seguridad y privacidad de Apple Pay.

Opinión de 9to5Mac
La falla de seguridad del MTA es inexcusable. Permitir el acceso al historial de viajes sin autenticación es una gran violación de privacidad que puede ser aprovechada fácilmente por acosadores. Además, el hecho de que se estén recopilando los detalles reales de la tarjeta de pago cuando se utiliza Apple Pay es alarmante. Esto va en contra de los principios de seguridad y privacidad de Apple Pay y requiere una investigación por parte de Apple.

Actualización: 1 de septiembre
MTA ha desactivado la función de búsqueda sin autenticación mientras evalúan otras formas de atender a los clientes que desean acceder a su historial de viajes. Aún queda sin respuesta la pregunta sobre cómo las transacciones de Apple Pay revelaban los números de tarjeta física. Se ha contactado a Apple para obtener comentarios.

Publicaciones relacionadas:

Parece que una falla de seguridad en el metro de Nueva York expone aparentemente una vulnerabilidad «imposible» en Apple Pay. La nueva cámara de seguridad de Canon, llamada ‘SPAD’, puede capturar video en color en total oscuridad. Una herramienta VNC oculta brinda a los atacantes acceso completo a Macs; viene con una garantía de $100,000. Una herramienta VNC oculta brinda a los atacantes acceso completo a las computadoras Mac; viene con una garantía de $100,000. Apple Watch Series 9 Rumored to Have New Pink Color OptionSe rumorea que el Apple Watch Series 9 tendrá una nueva opción de color rosa. Anker acaba de lanzar una nueva línea de cargadores y bancos de energía GaN, y debes echar un vistazo. Los modelos de iPhone 15 falsos muestran opciones de colores sin gracia en una nueva filtración. La detección de accidentes del Apple Watch vuelve a ser un salvavidas: ‘Una tecnología increíble que claramente impactó la vida de una persona’. La nueva edición limitada del Samsung Galaxy Watch 6 coloca las estrellas en tu muñeca. Embarrassingly, a FBI investigation discovered that the FBI was using blacklisted iPhone hack toolsDe manera vergonzosa, una investigación del FBI descubrió que el FBI estaba utilizando herramientas de pirateo de iPhone que estaban en lista negra. DJI Debuts Osmo Action 4 CameraDJI presenta la nueva cámara Osmo Action 4. El MINI Countryman sigue realizando pruebas en el Nurburgring para su nueva generación.
Autor:
Publicado en: Apple

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *