In einer Erklärung gegenüber Engadget sagte MTA-Sprecher Eugene Resnick: „Diese Funktion sollte unseren Kunden helfen, die Zugriff auf ihre kostenpflichtigen und kostenlosen Tap-and-Go-Reiseverläufe wünschen, ohne ein OMNY-Konto erstellen zu müssen.“ Im Rahmen des kontinuierlichen Engagements des MTA für die Privatsphäre unserer Kunden haben wir diese Funktion deaktiviert, während wir andere Möglichkeiten prüfen, diese Kunden zu bedienen.“
Warum MTA diese Funktionen deaktiviert
Die OMNY-Website enthielt eine Seite, auf der Fahrgäste ihre siebentägige Einfahrtshistorie in den U-Bahnen von New York einsehen konnten. Hierzu forderte die Website ihre Nutzer auf, ihre Kreditkartennummer und das Ablaufdatum einzugeben. Eva Galperin, Direktorin für Cybersicherheit bei der Electronic Frontier Foundation, sagte, dass diese Funktion den Benutzern Komfort bieten sollte, aber auch „ein Geschenk für Missbraucher“ sei.
Diese Sicherheitslücke wurde erstmals von Joseph Cox gemeldet, der mithilfe seiner Karteninformationen erfolgreich die Einstiegspunkte eines Passagiers (mit Zustimmung) verfolgen konnte. Cox schrieb: „Wenn ich diese Person weiter beobachtet hätte, hätte ich die U-Bahn-Station herausgefunden, an der sie ihre Reise oft beginnen, und die in der Nähe ihres Wohnortes liegt. Ich würde auch wissen, zu welcher bestimmten Zeit diese Person jeden Tag zur U-Bahn gehen darf.“Die Tracking-Funktion ermöglichte es Stalkern und anderen Kriminellen, nach den Reiseinformationen eines Passagiers zu suchen, wenn sie über die Kreditkarte der Person verfügten. Für diese Funktion war außerdem weder eine PIN noch ein Passwort erforderlich, was es für Missbraucher einfacher machte, sie zu missbrauchen. Allerdings ermöglichte die Website Reisenden die Erstellung eines sichereren Kontos. Die erweiterte Sicherheitsoption wurde weiter unten auf der Seite vergraben.
Ende des Artikels