Wie viele Leute benutze ich Venmo, um für Dinge zu bezahlen: um die Rechnung beim Abendessen zu teilen, um meinem Mitbewohner jeden Monat meinen Anteil an den Stromrechnungen zu schicken, um Freunden Konzertkarten zu erstatten. Es ist eine nützliche App zum Senden und Empfangen von Geld, unabhängig davon, bei wem man seine Bankgeschäfte tätigt.

Letzten Sommer, nachdem ich meinen Anteil an der Stromrechnung über Venmo bezahlt hatte, begann ich mich zu fragen, ob es Löcher in der App gab, die ich stopfen konnte. Ich war damals Studentin im Fachbereich Informationssicherheit und dachte, ich könnte mir etwas Geld dazuverdienen. Venmo gehört zu PayPal, das ein öffentliches Bug-Bounty-Programm hat, d. h. es bezahlt Hacker, die Sicherheitslücken in seinen Produkten melden.

Nachdem ich den Datenverkehr meines Telefons durch meinen Laptop geleitet hatte, beobachtete ich den Netzwerkverkehr, während ich durch die App navigierte. Mir ist aufgefallen, dass beim Öffnen der Venmo-Startseite ein Live-Feed von Transaktionen angezeigt wird, die von Fremden durchgeführt werden. Ich konnte einen öffentlichen API-Endpunkt sehen, der die Daten für diesen Feed zurückgab, was bedeutet, dass jeder eine GET-Anfrage stellen konnte (wie ein einfacher Seitenaufruf), um die letzten 20 Transaktionen zu sehen, die von jedem auf der Welt über die App getätigt wurden. Zu meiner Überraschung war dieser Endpunkt sogar außerhalb der App zugänglich, ohne dass eine Autorisierung erforderlich war. Nach einigen Experimenten stellte ich fest, dass ich zwei Anfragen für Transaktionsdaten pro Minute und IP-Adresse stellen konnte.

Ich schrieb ein schnelles, 20-zeiliges Python-Skript und begann, die API von zwei verschiedenen IPs aus abzufragen. Selbst mit einem Ratenlimit, das die Geschwindigkeit, mit der eine einzelne IP-Adresse Anfragen stellen kann, begrenzt, konnte ich 115.000 Transaktionen pro Tag herunterladen. Alle paar Wochen, wenn ich etwas Zeit hatte, begann ich erneut mit dem Scraping, bereinigte die Daten und speiste sie in eine MongoDB-Datenbank ein.

Anfänglich hatte ich keine konkreten Pläne für die Daten; da ich eine ganze Reihe von Kursen über Datenanalyse und -visualisierung belegt hatte, dachte ich, es könnte interessant sein, herauszufinden, welches Emoji in der Transaktionsnotiz am häufigsten verwendet wurde. (Seltsamerweise ist es das 🏈.) Letzten Monat habe ich mir die Daten jedoch noch einmal angesehen, um zu sehen, was ich sonst noch aus ihnen herauslesen kann.

Als ich die Daten durchstöberte, wurde ich besorgt darüber, dass es mir möglich war, so einfach eine so große Sammlung der finanziellen Aktivitäten von Menschen anzuhäufen, selbst wenn es sich um eher harmlose Aktivitäten wie die Aufteilung der Kosten für eine Pizza handelte.

Natürlich ist den meisten Venmo-Nutzern bewusst, dass ihre Transaktionen – die in der Regel mit einer kurzen Beschreibung oder einer Reihe von Emojis dargestellt werden – für jeden sichtbar sind, der ihren Benutzernamen sucht. Schließlich ist eines der Verkaufsargumente von Venmo, dass die App das Senden und Empfangen von Geld einfach und sozial macht. Aber diese öffentlichen Daten sind nicht so harmlos, wie man meinen könnte.

Ich habe mich gefragt: „Wenn ich ein Angreifer wäre und ein bestimmtes Ziel im Auge hätte, was könnte ich aus diesen Daten über diese Person herauslesen? Sind sie für mich nützlich?“ Die Antwort lautet: Ja, es gibt hier eine ganze Menge nützlicher Informationen, die für schändliche Zwecke zur Verfügung stehen.

Erstens kann ich sehen, welche App Sie verwenden, um Geschäfte über Venmo zu tätigen. Es gibt zwar einige Integrationen von Drittanbietern mit Websites wie Splitwise, aber in den meisten Fällen ist die App entweder als „Venmo für Android“ oder „Venmo für iPhone“ aufgeführt. Diese Informationen können für eine Reihe von Angriffen nützlich sein. So könnten Hacker beispielsweise versuchen, Ihre Apple-ID-Anmeldedaten zu ergaunern, wenn sie wissen, dass Sie ein iPhone verwenden.

Da Venmo die Überweisung von Geld erleichtert, besteht auch die Möglichkeit, dass das Geld gegen nicht legale Waren eingetauscht wird. Eine schnelle Suche nach ein paar Drogennamen und Slangbegriffen ergibt Hunderte von Transaktionen. Obwohl es möglich ist, dass viele davon Scherze waren – zugegeben, meine Freunde tun das -, könnte ein Angreifer, wenn diese Beschreibungen zutreffen, diese Informationen für Erpressungen nutzen.

Aber der wahrscheinlichste Cyberangriff, der mit Venmo-Daten durchgeführt wird, ist Spearphishing – und die Menge an spezifischen Informationen, die über die App verfügbar sind, würde einen sehr überzeugenden Phish ergeben. Ein Angreifer könnte leicht eine Liste der Personen finden, mit denen die Zielperson am häufigsten interagiert, sowie die üblichen Ausgabengewohnheiten dieser Personen. Wenn Andy beispielsweise häufig mit Shannon interagiert, um Konzertkarten zu bezahlen, könnte ein Angreifer eine sehr glaubwürdige Phishing-Nachricht für Andy erstellen, die so aussieht, als würde Shannon Informationen über ein Konzert mit ihm teilen und er solle sich bei seinem Ticketmaster-Konto anmelden, um es zu sehen.

Überraschenderweise bin ich nicht der Erste, der das Potenzial der Nutzung von Venmo-Daten für Hacks aufdeckt. Tatsächlich waren mehrere Techniker, die die API von Venmo vor mir untersucht haben, in der Lage, viel mehr Daten viel schneller als ich auszulesen, was darauf hindeutet, dass Venmo einige Änderungen an der Infrastruktur vorgenommen hat.

Trotz kleinerer Verbesserungen bietet der öffentliche API-Endpunkt von Venmo immer noch ein Kopfgeld für böse Akteure. Die gute Nachricht? Sie können sich schützen, indem Sie Ihre Privatsphäre-Einstellungen auf „privat“ ändern und alle Ihre vergangenen Transaktionen ebenfalls als privat markieren. Es liegt an den Nutzern zu entscheiden, was ihnen mehr wert ist: ihre Privatsphäre oder ihre digitale Kontaktfreudigkeit. Wie in letzter Zeit schmerzlich deutlich geworden ist, sind Sie das Produkt, wenn Sie nicht für das Produkt bezahlen.

WIRED Opinion veröffentlicht Beiträge von externen Autoren und vertritt ein breites Spektrum von Standpunkten. Lesen Sie hier weitere Meinungen. Reichen Sie einen Meinungsbeitrag ein unter [email protected]

More Great WIRED Stories

• Verändern Sie Ihr Leben: bestride the bidet
• Facebook’s Libra enthüllt den nackten Ehrgeiz von Silicon Valley
• Jigsaw kaufte eine russische Troll-Kampagne als Experiment
• Alles, was du über Aliens wissen willst und musst
• Eine rasante Fahrt durch die Berge in einem Hybrid-Porsche 911
• 💻 Verbessere dein Arbeitsverhalten mit den Lieblings-Laptops unseres Gear-Teams, Tastaturen, Alternativen zum Tippen und Kopfhörer mit Geräuschunterdrückung
• 📩 Möchten Sie mehr? Melden Sie sich für unseren täglichen Newsletter an und verpassen Sie nie wieder unsere neuesten und besten Artikel