חוקר מגלה כי Venmo חושף 'כמות מדאיגה' של נתונים אישיים ב-API ציבורי

בפעם הבאה שתבצע תשלום ב-ונמו, היזהר: כמעט כל אחד יכול לעקוב אחריו.

אפליקציית התשלומים הניידים הפופולרית משתפת את הנתונים האישיים של המשתמשים - כולל שמות אמיתיים, הערות שנשלחו עם התשלום, תאריכי עסקה ונמעני העסקה - עם הציבור כברירת מחדל. מידע זה נחשף דרך ה-API הציבורי של החברה, וניתן להסתיר אותו על ידי התאמת הגדרות הפרטיות שלך מ"ציבורי" ל"פרטי".

חוקר אבטחהHang Do Thi Ducגילו לאחרונה את ה"כמות המדאיגה" הזו של מידע שהודלף על ידי בחינת ה-API הציבורי. הסיבה שזה קורה, מציע החוקר, היא כי הגדרות ברירת המחדל של אפליקציית Venmo מוגדרות ל"ציבורי" עבור כל המשתמשים.

באמצעות נתוני עסקאות שזמינים דרך ה-API הציבורי, Do Thi Duc הוריד 207,984,218 עסקאות Venmo, כל העסקאות הציבוריות שנעשו באפליקציה ב-2017, וניתח אותן. היא פירטה את הממצאים שלה בפרויקט בעל שם מתאים בשםציבורי כברירת מחדל.

כדי להראות כמה פרטים אתה יכול למשוך מנתוני העסקאות הציבוריים של Venmo, הפרויקט Public By Default של Do Thi Duc מתמקד בחמישה חשבונות Venmo ספציפיים. חמשת החשבונות, שאת זהותם היא בחרה לשמור על פרטיות, כוללים מוכר קנאביס בקליפורניה, מוכר משאיות מזון, גבר ואישה נשואים, חובב ג'אנק פוד וזוג לוחם.

מהירות אור ניתנת לריסוק

כמות המידע ש-Do Thi Duc מסוגל למשוך מנתוני העסקאות ש- Venmo משתפת היא די מדהימה. לדוגמה, היא הצליחה לעקוב אחר הלקוח מספר אחת של ספק משאיות האוכל ולמצוא בדיוק מתי היא תיסע ומה היא קנתה לאכול. במקרה של הזוג הנשוי, Do Thi Duc הצליח לא רק לומר היכן הם קונים אלא גם מי אחראי לאיזה חשבון.

בדו"ח שלה, Do Thi Duc הצליחה להשיג עוד יותר מידע על האנשים שמאחורי העסקאות הציבוריות הללו בהתבסס על תמונת הפרופיל שבה הם השתמשו. אם משתמש Venmo בחר לקשר את חשבון הפייסבוק שלו כדי שיוכל להשתמש באותה תמונת פרופיל כמו הדמות שלו של Venmo, ה-API הציבורי של Venmo משתף את כתובת האתר של תמונת פייסבוק יחד עם שאר העסקה. כתובת ה-URL של תמונת הפרופיל כוללת את מזהה הפייסבוק של משתמש, שבתורו יפנה אותך ישירות לפרופיל פייסבוק של אדם.

העובדה ש-Venmo אפשרה גישה כל כך קלה למידע מסוג זה בצורה של API ציבורי היא בעייתית. בידיים של האדם הנכון - או הלא נכון - המידע הזה בשל לגניבת זהות. לא רק זה, אלא שהגישה למידע הזה על ידי למשל עוקב או מתעלל במשפחה היא עלולה להיות מסוכנת.

בהצהרה, Venmo ממהרת לציין שבעוד ש"הבטיחות והפרטיות של משתמשי Venmo והמידע שלהם הם אחד מהעדיפויות הגבוהות ביותר שלנו", בכל הנוגע להגנה על מידע זה, זה תלוי בכל משתמש Venmo לשנות את ברירת המחדל של Venmo. הגדרות ולהפוך אותו לפרטי.

אנו ממליצים לך לעשות בדיוק את זה.