La Metropolitan Transportation Authority (MTA) de la ville de New York a annoncé aujourd’hui qu’elle désactivait sur son site Web la « fonctionnalité » qui permettait de suivre les mouvements des personnes en saisissant les informations de leur carte de crédit. Le MTA déclare qu’il désactive la fonction d’historique de sept jours pour OMNY dans le cadre de son engagement en faveur de la confidentialité.
« Cette fonctionnalité était destinée à aider nos clients qui souhaitent accéder à leurs historiques de voyages instantanés, payants et gratuits, sans avoir à créer un compte OMNY », a écrit le porte-parole de MTA, Eugene Resnick, dans une déclaration à Engadget. « Dans le cadre de l’engagement continu de la MTA en faveur de la confidentialité des clients, nous avons désactivé cette fonctionnalité pendant que nous évaluons d’autres moyens de servir ces clients. »
Le site Web d’OMNY comprenait une page (capture d’écran ci-dessus) où les passagers pouvaient saisir leur numéro de carte de crédit et leur date d’expiration pour consulter leur historique de sept jours aux points d’entrée dans les métros de New York. Bien que destiné à offrir du confort aux utilisateurs, il s’agissait également d’un « cadeau pour les agresseurs », comme l’a décrit Eva Galperin, directrice de la cybersécurité de l’Electronic Frontier Foundation, à Engadget. Joseph Cox de 404 Médias, qui a initialement signalé la faille de sécurité, a réussi à suivre les points d’entrée de quelqu’un (avec son consentement) à l’aide des informations de sa carte. « Si j’avais continué à surveiller cette personne, j’aurais découvert la station de métro où elle commence souvent son voyage, qui est proche de chez elle », a écrit Cox. «Je saurais aussi à quelle heure précise cette personne peut prendre le métro chaque jour.»
Cette fonctionnalité a permis aux harceleurs, aux ex violents ou à toute personne possédant la carte de crédit d’une personne de savoir où et quand elle est entrée dans le métro. La fonctionnalité ne nécessitait pas de code PIN ou de mot de passe ; même si une section distincte permettait aux voyageurs de créer un compte plus sécurisé, elle était enfouie plus bas dans la page.