Một nhà nghiên cứu bảo mật gần đây đã phát hiện ra một vấn đề nghiêm trọng về quyền riêng tư trong hệ thống tàu điện ngầm Metropolitan Transportation Authority (MTA) của thành phố New York, theo báo cáo của AppleInsider.
Joseph Cox của 404media đã vô tình phát hiện ra lỗ hổng đáng báo động này trong quá trình điều tra của mình, qua đó cũng làm nổi bật những rủi ro tiềm ẩn mà nó gây ra cho quyền riêng tư của người dùng và bảo mật dữ liệu.
Phát hiện của Cox được tiết lộ khi anh ta có thể theo dõi chi tiết toàn bộ lịch sử hoạt động của một hành khách thông qua một tính năng trên trang web của MTA cho phép truy cập vào lịch sử chuyến đi, chỉ bằng cách đơn giản là nhập các thông tin thẻ tín dụng của họ . Điều đáng kinh ngạc là quyền truy cập này không yêu cầu bất kỳ một phương pháp xác minh nào và cứ thế… tuồn ra tất cả thông tin!
Tiết lộ của Cox gây ra lo ngại về quyền riêng tư và bảo mật của những người đi tàu sử dụng hệ thống tàu điện ngầm và dựa vào các tính năng như vậy để thuận tiện. Lỗ hổng càng trở nên đáng lo ngại hơn khi Cox chỉ ra rằng theo dõi tương tự có thể có thể thực hiện được khi sử dụng Apple Pay, một công nghệ được biết đến với các biện pháp bảo mật cực kỳ mạnh mẽ.
Bảo mật Apple Pay có vấn đề?
Apple Pay đã được ca ngợi vì các tính năng bảo mật nâng cao, chẳng hạn như việc sử dụng mã xác minh một lần thay thế cho việc truyền thông tin thẻ tín dụng trong các giao dịch.
Tuy nhiên, những phát hiện của Cox làm dấy lên sự nghi ngờ về các tuyên bố bảo mật của Apple Pay. Nếu nhận xét của Cox là chính xác, nó có thể có nghĩa là Apple Pay không còn chống lại việc theo dõi và lạm dụng tiềm ẩn như trước đây.
Phản ứng của MTA gây ra những lo ngại lớn
Để đáp lại phát hiện của Cox, MTA nhấn mạnh cam kết bảo vệ quyền riêng tư của khách hàng nhưng không giải quyết được những thiếu sót vốn có trong hệ thống của mình. Khả năng truy cập toàn bộ lịch trình chuyến đi của một người đi tàu chỉ với thông tin điểm vào là một thiếu sót lớn, mở ra cánh cửa cho những kẻ theo dõi và tội phạm thu thập thông tin nhạy cảm. Sự thiếu hụt các biện pháp xác thực cho việc truy cập lịch sử chuyến đi là một lỗ hổng lớn khiến nhiều thông tin của người dùng dễ dàng bị chiếm đoạt.
Eva Galperin, Giám đốc An ninh Mạng tại Electronic Frontier Foundation, đã nhấn mạnh tác động của vấn đề đối với các thông tin nhạy cảm của người dùng. Bà cho rằng tội phạm hoặc những người có quyền truy cập vật lý vào ví của nạn nhân có thể dễ dàng khai thác lỗ hổng này, vì thông tin thẻ tín dụng không phải là định danh duy nhất.
Các biện pháp khắc phục và những lo ngại về quyền riêng tư
Các chuyên gia cho rằng một giải pháp khả thi để tăng cường bảo mật là yêu cầu mã PIN hoặc mật khẩu để truy cập lịch sử chuyến đi. Tuy nhiên, MTA vẫn chưa đưa ra được các biện pháp khắc phục cụ thể, khiến nhiều người dùng lo ngại về quyền riêng tư của mình khi sử dụng dịch vụ.
Hiện tại, Apple vẫn chưa đưa ra câu trả lời chính thức về cách thức hoạt động của trang web MTA khi người đi xe sử dụng Apple Pay.
