Haarsträubende Lücke: Hat Apple Pay ein heftiges Datenschutzproblem?

Apple Pay hat möglicherweise ein großes Problem mit dem Datenschutz. Unter bestimmten Umständen erhalten die Händler und Verkaufsstellen die Kreditkartennummern der Kunden, obwohl das unmöglich sein sollte. Aufgefallen ist das Problem eher im Windschatten eines heftigen Datenschutz-Versagens der New Yorker Verkehrsbetriebe.

Auf gleich mehreren Ebenen ist dieser Fall erschreckend, eine davon birgt ein unmittelbares, eine weitere ein eher abstraktes Missbrauchspotenzial: Wer in New York mit der U-Bahn fährt, kann einfach durch die Sperre laufen, wenn er sein iPhone oder seine Apple Watch, auf der eine Kreditkarte für Apple Pay Express ÖPNV konfiguriert ist, an den Leser am Drehkreuz hält. Seit Ende 2020 ist dieses Feature an allen Bahnhöfen in New York City verfügbar, wie auch in vielen Nahverkehrssystemen rund um die Welt, außerhalb Deutschlands.

Kunden können ihre Fahrten auf der Seite des U-Bahn-Betreibers Metropolitan Transportation Authority (MTA) einsehen. Hierzu können sie entweder ein personalisiertes Nutzerkonto anlegen, oder ihre Fahrten der letzten sieben Tage auch ohne Anmeldung sehen. Dafür allerdings benötigt ein Nutzer nur die Kreditkartennummer und das Ablaufdatum und schon öffnet sich das ganze Bewegungsprofil, soweit es die Verkehrsmittel der MTA betrifft, was an und für sich schon ein erschreckendes Datenschutzversagen ist.

Problem geht noch tiefer

Doch diese Daten dürfte die MTA gar nicht haben, wenn ein Fahrgast Apple Pay Express ÖPNV genutzt hat, wie 404 Media, ein neu gegründetes investigatives Nachrichtenportal hervorhebt. Denn eine der Qualitäten von Apple Pay ist bekanntlich die Zusicherung, dass Kartendaten bei der Transaktion durch eine zufällig erzeugte Einmal-Kennung ersetzt werden.

Weder Apple, noch der Händler sollte Zugriff auf die personenbezogenen Kartendaten der Kunden haben. Wieso das in diesem Fall nicht so war, wollte Apple bislang nicht erklären.