Auf der OMNY-Website bietet die Metropolitan Transportation Authority (MTA) ihren Fahrgästen die Möglichkeit, den Fahrtverlauf zu überprüfen. Diese Funktion besteht für Personen, die beim Betreten der U-Bahn kontaktlose Bankkarten oder andere Lösungen wie Apple Pay und Google Pay verwenden, berichtet Investigativ-Reporter Joseph Cox bei 404 Media.
OMNY ist das kontaktlose Zahlungssystem der New Yorker Metro, über das man wie auch sonst im öffentlichen Personennahverkehr der Millionenstadt einfach mit einer kompatiblen Kreditkarte wie Apple Pay oder Google Pay einchecken und losfahren kann.
Kreditkartennummern kann jeder in das System eingeben
Mit dem Einverständnis der MTA gab Cox die Kreditkartendaten eines Fahrgastes ein. Solche Daten lassen sich zum Beispiel leicht auf kriminellen Marktplätzen kaufen oder können auf andere Weise missbräuchlich erlangt werden.
Jeder kann diese Kreditkartennummern in die MTA-Website für OMNY eingeben und, wie Cox berichtet, ohne weitere Sicherheitsmaßnahmen nach ein paar Sekunden auf der Website den Reiseverlauf des betreffenden Fahrgastes für die letzten sieben Tage einsehen. Eine weitere Überprüfung findet Cox zufolge nicht statt.
Fahrteneinsicht ohne eigenes Konto
Mit der Funktion “Fahrtenverlauf” können Kunden ihre bezahlten und kostenlosen Fahrten der letzten sieben Tage einsehen, ohne ein OMNY-Konto anlegen zu müssen. Allerdings können Kunden ihre OMNY-Reisen alternativ auch mit Bargeld bezahlen. Die MTA erklärte bei Verwendung von Bankkarten, dass OMNY nicht den Ort des Ausstiegs des Fahrgastes aufzeichnet, sondern nur den Ort des Einstiegs. Außerdem sehe die MTA nicht die echte Kreditkartennummer des Kunden. Diese aber muss ja offenbar im System hinterlegt sein, damit es funktioniert.
Lesetipp: Apple Pay einrichten – auf iPhone, Apple Watch und Mac
Die Nachricht stelle jedenfalls ein erhebliches Risiko für die Privatsphäre dar, so Cox. Die Funktion zur Überprüfung der eigenen Reisehistorie öffne dem Missbrauch Tür und Tor. 404 Media äußerte seine Bedenken gegenüber Sicherheitsexperten der MTA. Ein MTA-Sprecher versprach, dass die Agentur Verbesserungen am System prüfen werde. Im Moment sei die Tracking-Funktion jedoch tatsächlich noch ohne Authentifizierung zugänglich.
Tipp: Die Kreditkarten von American Express. Bereits ab 0,- Euro im Monat
Missbrauch häufig durch Partner
Diese Funktion eigne sich “offensichtlich (…) hervorragend für Täter, die mit ihren Opfern zusammenleben oder physischen Zugang zu deren Geldbörsen haben, auch wenn dieser nur kurz ist”, kommentiert das Eva Galperin, Leiterin der Abteilung Cybersicherheit bei der Aktivistenorganisation Electronic Frontier Foundation (EFF). Sie hat laut dem Artikel ausführlich untersucht, wie Partner Technologie nutzen. Fazit: “Kreditkartendaten sind keine gottverdammte eindeutige Kennung (Credit card info is not a goddamn unique identifier”).
Sicherheitsmaßnahmen von Apple Pay offenbar umgangen
Was nun besonders überraschend und für Apple-User, die den Sicherheitsmaßnahmen und Versprechungen des Konzerns aus Cupertino an sich vertrauen, verstörend ist: 404 Media fand nach eigener Mitteilung heraus, dass die MTA-Fahrtverlaufsfunktion auch dann funktioniert, wenn der Benutzer mit Apple Pay bezahlt.
Apple habe 404 Media mitgeteilt (ein Zeichen, dass Apple diese Anfrage ernst nimmt, weil es sich nicht immer äußert!), dass es die verwendeten Kartennummern weder speichere noch darauf zugreife und diese auch nicht an Händler, einschließlich Verkehrsbetriebe, weitergebe. Das verspricht Apple seinen Usern auch direkt auf der eigenen Webseite. Apple beantwortete demnach jedoch nicht die Frage, wie die Funktion auf der MTA-Website möglich ist, wenn ein Fahrgast Apple Pay verwendet. Und was dies dann auch unabhängig von dem New Yorker Metro-System bedeutet, wenn und wie mittels der Kreditkartennummer nach einem Apple-Pay-Vorgang Userdaten in bestimmten Fällen wie diesem mit dem Bewegungsprofil doch einsehbar wären.