Stejně jako mnoho dalších lidí používám Venmo k placení za věci: k rozdělení účtu u večeře, k měsíčnímu posílání své části účtů za komunální služby spolubydlícímu, k proplácení vstupenek na koncert přátelům. Je to užitečná aplikace pro posílání a přijímání peněz bez ohledu na to, u koho máte banku.

Loni v létě, poté co jsem přes Venmo zaplatil svou část účtu za elektřinu, jsem začal přemýšlet, jestli v aplikaci nejsou nějaké díry, do kterých bych mohl šťourat. V té době jsem byl postgraduální student studující informační bezpečnost a říkal jsem si, že bych si mohl přivydělat nějaké peníze. Venmo patří společnosti PayPal, která má veřejný program odměn za chyby – to znamená, že platí hackerům za nahlášení bezpečnostních chyb ve svých produktech.

Poté, co jsem proxy serverem přesměroval provoz svého telefonu přes notebook, jsem sledoval síťový provoz při procházení aplikace. Všiml jsem si, že když otevřete domovskou stránku služby Venmo, zobrazí se vám živý přenos transakcí, které provádějí cizí lidé. Viděl jsem veřejný koncový bod API, který vracel data pro tento kanál, což znamená, že kdokoli mohl zadat požadavek GET (jako jednoduché načtení stránky) a zobrazit posledních 20 transakcí provedených v aplikaci kýmkoli na celém světě. K mému překvapení byl tento koncový bod přístupný i mimo aplikaci, bez nutnosti autorizace. Po chvíli experimentování jsem zjistil, že mohu provést dva požadavky na data o transakcích za minutu na jednu IP adresu.

Napsal jsem rychlý, dvacetiřádkový skript v jazyce Python a začal shromažďovat údaje o API ze dvou různých IP adres. I s nastaveným omezením rychlosti, které omezuje rychlost, jakou může jedna IP adresa provádět požadavky, jsem mohl stáhnout 115 000 transakcí za den. Každých několik týdnů, pokud jsem měl volný čas, jsem se do scrapování pustil znovu, data vyčistil a vložil do databáze MongoDB.

Zpočátku jsem s daty neměl žádné konkrétní plány; protože jsem absolvoval poměrně dost kurzů zahrnujících analýzu a vizualizaci dat, napadlo mě, že by mohlo být zajímavé zjistit, které emoji se v poznámce k transakcím používají nejčastěji. (Kupodivu je to 🏈.) Ale minulý měsíc jsem se k datům vrátil, abych zjistil, co dalšího z nich mohu získat.

Když jsem se v té hromádce probíral, začal jsem být znepokojen tím, že se mi podařilo tak snadno shromáždit tak rozsáhlou sbírku finančních aktivit lidí, i když šlo o většinou neškodné činnosti, jako je rozdělení ceny pizzy.

Většina lidí používajících Venmo si je samozřejmě vědoma toho, že jejich transakce – obvykle reprezentované krátkým popisem nebo sérií emoji – jsou viditelné pro každého, kdo vyhledá jejich uživatelské jméno. Koneckonců jedním z prodejních argumentů aplikace Venmo je, že posílání a přijímání peněz je snadné a sociální. Tyto veřejné údaje však nejsou tak neškodné, jak by se mohlo zdát.

Položil jsem si otázku: „Kdybych byl útočník a měl na mysli konkrétní cíl, co bych o něm mohl z těchto údajů zjistit? Je to pro mě užitečné?“ Odpověď zní ano, je zde k dispozici poměrně velké množství užitečných informací pro nekalé účely.

Předně mohu zjistit, jakou aplikaci používáte k obchodování na Venmo. Ačkoli existuje několik integrací třetích stran se stránkami, jako je Splitwise, většinou je aplikace uvedena buď jako „Venmo pro Android“, nebo „Venmo pro iPhone“. Tato informace může být užitečná pro řadu útoků. Hackeři se například mohou pokusit vylákat vaše přihlašovací údaje k Apple ID, pokud vědí, že používáte iPhone.

Protože Venmo zprostředkovává převod peněz, existuje také možnost, že peníze jsou směňovány za nelegální zboží. Při rychlém vyhledání několika názvů drog a slangových výrazů se objeví stovky transakcí. Ačkoli je možné, že mnohé z nich byly vtipy – přiznávám, že to dělají moji přátelé – pokud by tyto popisy byly přesné, útočník by mohl takové informace použít k vydírání.

Nejpravděpodobnějším kybernetickým útokem, který by mohl být veden s využitím údajů z aplikace Venmo, je však spearphishing – a množství konkrétních informací dostupných prostřednictvím aplikace by z něj udělalo velmi přesvědčivý phish. Útočník by mohl snadno najít seznam osob, se kterými jeho cíl nejčastěji komunikuje, a také jejich běžné výdajové návyky. Pokud například Andy často komunikuje se Shannonem a platí s ním za lístky na koncert, mohl by útočník pro Andyho vytvořit velmi věrohodnou phishingovou zprávu, která by vypadala tak, že Shannon s ním sdílí informace o koncertu a že by se měl přihlásit ke svému účtu Ticketmaster, aby si je mohl prohlédnout.

Překvapivě nejsem první, kdo odhalil potenciál využití údajů z aplikace Venmo k provádění hackerských útoků. Ve skutečnosti několik inženýrů, kteří zkoumali rozhraní API společnosti Venmo přede mnou, dokázalo vypsat mnohem více dat a mnohem rychleji než já, což naznačuje, že společnost Venmo provedla určité změny v infrastruktuře.

I přes drobná vylepšení poskytuje veřejný koncový bod rozhraní API společnosti Venmo stále odměnu pro špatné hráče. Dobrá zpráva? Můžete se chránit tím, že změníte nastavení soukromí na soukromé – a jako soukromé označíte i všechny své minulé transakce. Je na uživatelích, aby se rozhodli, co má větší cenu: jejich soukromí nebo jejich digitální společenskost. Jak se nedávno bolestně ukázalo, pokud neplatíte za produkt, jste produktem vy.

WIRED Opinion publikuje články napsané externími přispěvateli a představuje širokou škálu názorů. Další názory si můžete přečíst zde. Pošlete svůj názor na [email protected]

Další skvělé příběhy WIRED

• Změňte svůj život: Bestride bidet
• Facebook Libra odhaluje obnažené ambice Silicon Valley
• Jigsaw koupil ruskou trollí kampaň jako experiment
• Vše, co chcete – a potřebujete – vědět o mimozemšťanech
• Velmi rychlá jízda po kopcích v hybridním Porsche 911
• 💻 Vylepšete svou pracovní hru s oblíbenými notebooky našeho týmu Gear, klávesnicemi, alternativami pro psaní a sluchátky s potlačením šumu
• 📩 Chcete víc? Přihlaste se k odběru našeho každodenního zpravodaje a nikdy vám neuniknou naše nejnovější a nejlepší články