Uma séria vulnerabilidade foi descoberta no site do sistema de metrô de Nova York (MTA), que permite que se possa rastrear um determinado passageiro sabendo apenas seu número de cartão de crédito.
Isso porque todos os números dos usuários que pagam com cartão ficam armazenados no sistema, assim como seus códigos de segurança e data de validade.
A notícia em si já seria grave, não fosse um outro fator: segundo o site que descobriu a falha, os usuários que utilizam o Apple Pay também têm seus números de cartão registrados no sistema, algo que, na teoria, seria impossível.
Como isso acontece? A Apple não nos garantiu que o Pay não transmite os dados para o comerciante?
É isso que todos se perguntam no momento.
Metrô expõe histórico
Para entender melhor essa vulnerabilidade, os números dos cartões dos usuários não foi vazado. O que se descobriu é que tem como rastrear pessoas usando o número do cartão delas.
No site da Metropolitan Transportation Authority (MTA) existe um recurso para o usuário ver seu histórico de viagens nos últimos 7 dias. Basta ele informar seu número de cartão de crédito, a data de validade e é possível ver por onde o usuário foi durante a semana.
Isso é grave porque números de cartão muitas vezes podem ser obtidos na deep web, e ao saber que certo indivíduo pega metrô todo o dia em uma determinada estação, é possível supor a vizinhança onde ele mora (além dos horários que ele está fora de casa).
Qualquer um, munido do número do cartão, pode saber o que certa pessoa fez.
Quer um caso de uso ainda mais sério? Cônjuges ciumentos abusivos que querem controlar onde o parceiro ou parceira esteve. Basta pegar o número do cartão, entrar no site da MTA e descobre-se por onde andou na semana inteira.
E a questão curiosa (e que mais interessa para nós, que nem moramos em Nova York) é que o sistema apresenta também informações de cartão de quem usa o Apple Pay.
Apple Pay exposto?
A tecnologia do Apple Pay é projetada para substituir os detalhes do cartão de crédito por códigos de pagamento únicos, tornando as transações mais seguras e privadas.
No entanto, a vulnerabilidade expõe que, em determinadas circunstâncias, os dados reais do cartão estão sendo transmitidos, o que contradiz a promessa de segurança da Apple.
Especialistas em segurança cibernética e ativistas têm expressado preocupações sobre essa descoberta.
Eva Galperin, diretora de segurança cibernética da organização ativista Electronic Frontier Foundation (EFF), enfatiza que as informações do cartão de crédito não deveriam ser consideradas um identificador exclusivo.
A falha abre espaço para abusos, especialmente por indivíduos com acesso físico aos detalhes do cartão de crédito.
Ao ser questionada, a Apple disse que não armazena ou tem acesso aos números de cartão usados e não os fornece aos comerciantes, incluindo sistemas de trânsito.
Porém, ela não respondeu como o recurso do site MTA funciona quando um usuário usa o Apple Pay.
Se esta polêmica tomar proporções maiores, certamente a Apple irá se pronunciar de forma mais incisiva, explicando o que aconteceu.
Será mesmo que o número do cartão é repassado ao comerciante quando se usa o Apple Pay? Como o sistema da MTA conseguiu essa informação?
São respostas que, cedo ou tarde, a Apple terá que dar.