Jeg har skrabet millioner af Venmo-betalinger. Dine data er i fare

Som mange andre bruger jeg Venmo til at betale for ting: til at dele regningen ved middagen, til at sende min værelseskammerat min del af regningerne hver måned og til at refundere venner for koncertbilletter. Det er en nyttig app til at sende og modtage penge, uanset hvem du har bankforbindelse med.

WIRED OPINION

OVER

Dan Salmon er kandidat fra Minnesota State University med speciale i informationssikkerhed.

Forrige sommer, efter at have betalt min del af elregningen via Venmo, begyndte jeg at spekulere på, om der var huller, jeg kunne prikke i app’en. Jeg var en kandidatstuderende, der studerede informationssikkerhed på det tidspunkt, og jeg tænkte, at jeg kunne tjene lidt ekstra penge. Venmo er ejet af PayPal, som har et offentligt bug bounty-program – det vil sige, at de betaler hackere for at rapportere sikkerhedshuller i deres produkter.

Efter at have proxyet min telefontrafik gennem min bærbare computer, kiggede jeg på netværkstrafikken, mens jeg navigerede i appen. Jeg bemærkede, at når du åbner Venmo-hjemmesiden, får du vist et live-feed af transaktioner, der foretages af fremmede. Jeg kunne se et offentligt API-slutpunkt, der returnerede dataene til dette feed, hvilket betyder, at alle kunne lave en GET-forespørgsel (som en simpel sideindlæsning) for at se de seneste 20 transaktioner, der er foretaget i appen af alle i hele verden. Til min overraskelse var dette slutpunkt tilgængeligt selv uden for appen, uden at der var behov for autorisation. Efter nogle eksperimenter fandt jeg ud af, at jeg kunne foretage to anmodninger om transaktionsdata pr. minut pr. IP-adresse.

Jeg skrev et hurtigt Python-script på 20 linjer og begyndte at skrabe API’et fra to forskellige IP-adresser. Selv med en hastighedsbegrænsning på plads, som begrænser den hastighed, hvormed en enkelt IP kan foretage anmodninger, kunne jeg hente 115.000 transaktioner om dagen. Med et par ugers mellemrum, hvis jeg havde fritid, startede jeg scrapen igen, rensede dataene og lagde dem i en MongoDB-database.

I første omgang havde jeg ingen konkrete planer for dataene; efter at have taget en del kurser, der involverede dataanalyse og visualisering, tænkte jeg, at det kunne være interessant at finde ud af, hvilken emoji der blev brugt hyppigst i transaktionsnotatet. (Mærkeligt nok er det 🏈.) Men i sidste måned genbesøgte jeg dataene for at se, hvad jeg ellers kunne få ud af dem.

Mens jeg gennemgik trofæet, blev jeg bekymret over, at jeg havde været i stand til at samle en så stor samling af folks økonomiske aktivitet så let, selv om det var for mest uskadelige aktiviteter som at dele prisen på en pizza.

De fleste mennesker, der bruger Venmo, er naturligvis klar over, at deres transaktioner – typisk repræsenteret med en kort beskrivelse eller en række emoji – er synlige for alle, der søger på deres brugernavn. Når alt kommer til alt, er et af Venmos salgsargumenter, at appen gør det nemt og socialt at sende og modtage penge. Men disse offentlige data er ikke så uskadelige, som du måske tror.

Jeg spurgte mig selv: “Hvis jeg var en angriber, og jeg havde et specifikt mål i tankerne, hvad kunne jeg så udlede om den pågældende person fra disse data? Er det nyttigt for mig?” Svaret er ja, der er en rimelig mængde nyttige oplysninger her, som er tilgængelige til forbryderiske formål.

For det første kan jeg se, hvilken app du bruger til at gøre forretninger på Venmo. Selv om der er nogle tredjepartsintegrationer med websteder som Splitwise, er appen for det meste opført som enten “Venmo for Android” eller “Venmo for iPhone”. Disse oplysninger kan være nyttige ved en række angreb. Hackere kan f.eks. forsøge at phishe dine Apple ID-oplysninger, hvis de ved, at du bruger en iPhone.

Da Venmo letter overførslen af penge, er der også mulighed for, at pengene bliver udvekslet for ikke-lovlige varer. En hurtig søgning på et par stofnavne og slangudtryk giver hundredvis af transaktioner. Selv om det er muligt, at mange af disse var vittigheder – indrømmet, mine venner gør det – hvis disse beskrivelser var korrekte, kunne en angriber måske bruge sådanne oplysninger til afpresning.

Men det mest sandsynlige cyberangreb, der udføres ved hjælp af Venmo-data, er spearphishing – og mængden af specifikke oplysninger, der er tilgængelige via appen, ville gøre det til et meget overbevisende phish. En angriber kunne nemt finde en liste over de personer, som deres mål oftest interagerer med, samt disse personers almindelige forbrugsvaner. Hvis Andy for eksempel ofte interagerer med Shannon for at betale for koncertbilletter, kunne en angriber lave en meget troværdig phishing-besked til Andy, der ligner, at Shannon deler oplysninger om en koncert med ham, og at han skal logge ind på sin Ticketmaster-konto for at se den.

Overraskende nok er jeg ikke den første til at afsløre potentialet for at bruge Venmo-data til at udføre hacks. Faktisk var flere ingeniører, der undersøgte Venmos API før mig, i stand til at dumpe langt flere data, langt hurtigere end jeg gjorde, hvilket tyder på, at Venmo har foretaget nogle infrastrukturændringer.

Trods mindre forbedringer giver Venmos offentlige API-endpoint stadig en dusør for dårlige aktører. Den gode nyhed? Du kan beskytte dig selv ved at ændre dine privatlivsindstillinger til privat – og ved også at markere alle dine tidligere transaktioner som private. Det er op til brugerne at beslutte, hvad der er vigtigst: deres privatliv eller deres digitale socialitet. Som det for nylig er blevet smerteligt klart, er det dig, der er produktet, hvis du ikke betaler for produktet.

WIRED Opinion offentliggør artikler skrevet af eksterne bidragydere og repræsenterer en bred vifte af synspunkter. Læs flere opinions her. Indsend et indlæg på [email protected]

Mere fantastiske WIRED-historier

  • Forandre dit liv: bestride bidet
  • Facebooks Libra afslører Silicon Valley’s nøgne ambitioner
  • Jigsaw købte en russisk troldekampagne som et eksperiment
  • Alt du vil – og har brug for – at vide om rumvæsner
  • En meget hurtig tur gennem bakkerne i en hybrid Porsche 911
  • 💻 Opgrader dit arbejdsspil med vores Gear-teams foretrukne bærbare computere, tastaturer, skrivealternativer og støjreducerende hovedtelefoner
  • 📩 Vil du have mere? Tilmeld dig vores daglige nyhedsbrev, og gå aldrig glip af vores nyeste og bedste historier

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.