Kaavin miljoonia Venmo-maksuja. Tietosi ovat vaarassa

Kuten monet ihmiset, käytän Venmoa maksaakseni asioita: jakaakseni laskun illallisella, lähettääkseni kämppikselleni kuukausittain osuuteni käyttökustannuksista, korvatakseni ystäville konserttilippuja. Se on hyödyllinen sovellus rahan lähettämiseen ja vastaanottamiseen riippumatta siitä, kenen pankissa olet.

WIRED OPINION

YHTEENVETO

Dan Salmon on Minnesotan osavaltionyliopistosta valmistunut maisteri, joka on erikoistunut tietoturvaan.

Viime kesänä maksettuani osuuteni sähkölaskussa Venmon kautta aloin miettiä, voisiko sovelluksessa olla reikiä. Olin tuolloin gradua suorittava opiskelija, joka opiskeli tietoturvaa, ja ajattelin, että voisin tienata hieman ylimääräistä rahaa. Venmon omistaa PayPal, jolla on julkinen bug bounty -ohjelma – eli se maksaa hakkereille siitä, että ne ilmoittavat tuotteissaan olevista tietoturva-aukoista.

Valvottuani puhelimeni liikennettä läppärini kautta, seurasin verkkoliikennettä, kun navigoin sovelluksen kautta. Huomasin, että kun avaat Venmon etusivun, sinulle näytetään suorana lähetyksenä tuntemattomien tekemiä maksutapahtumia. Näin julkisen API-päätepisteen, joka palautti tämän syötteen tiedot, mikä tarkoittaa, että kuka tahansa voi tehdä GET-pyynnön (kuten yksinkertaisen sivulatauksen) nähdä 20 viimeisintä tapahtumaa, jotka kuka tahansa ympäri maailmaa on tehnyt sovelluksessa. Yllätyksekseni tähän päätepisteeseen pääsi käsiksi myös sovelluksen ulkopuolelta ilman valtuutusta. Pienen kokeilun jälkeen huomasin, että voisin tehdä kaksi pyyntöä transaktiotietojen saamiseksi minuutissa IP-osoitetta kohden.

Kirjoitin nopean, 20-rivisen Python-skriptin ja aloin kerätä API:ta kahdesta eri IP-osoitteesta. Vaikka käytössä oli nopeusrajoitus, joka rajoittaa nopeutta, jolla yksi IP-osoite voi tehdä pyyntöjä, pystyin lataamaan 115 000 transaktiota päivässä. Muutaman viikon välein, jos minulla oli vapaata aikaa, aloitin kaavinnan uudelleen, puhdistin tiedot ja syötin ne MongoDB-tietokantaan.

Aluksi minulla ei ollut mitään konkreettisia suunnitelmia tiedoille; koska olin käynyt melkoisen määrän kursseja, joihin liittyi data-analytiikkaa ja visualisointia, ajattelin, että voisi olla mielenkiintoista selvittää, mitä emojia käytettiin transaktiomerkinnöissä eniten. (Kummallista kyllä, se on 🏈.) Mutta viime kuussa kävin uudestaan läpi datan nähdäkseni, mitä muuta voisin siitä kerätä.

Katsellessani tietomäärää aloin huolestua siitä, että olin pystynyt keräämään näin helposti näin suuren kokoelman ihmisten taloudellisesta toiminnasta, vaikka kyse oli enimmäkseen harmittomista toiminnoista, kuten pizzan hinnan jakamisesta.

Tietenkin useimmat Venmoa käyttävät ihmiset ovat tietoisia siitä, että heidän maksutapahtumansa – jotka tyypillisesti esitetään lyhyellä kuvauksella tai sarjalla hymiöitä – näkyvät kaikille, jotka etsivät heidän käyttäjätunnuksensa. Loppujen lopuksi yksi Venmon myyntivaltti on, että sovellus tekee rahan lähettämisestä ja vastaanottamisesta helppoa ja sosiaalista. Nämä julkiset tiedot eivät kuitenkaan ole niin harmittomia kuin voisi luulla.

Kysyin itseltäni: ”Jos olisin hyökkääjä ja minulla olisi tietty kohde mielessäni, mitä voisin saada selville kyseisestä henkilöstä näistä tiedoista?”. Onko siitä minulle hyötyä?” Vastaus on kyllä, tässä on melkoinen määrä hyödyllistä tietoa, joka on käytettävissä häijyihin tarkoituksiin.

Ensin näen, mitä sovellusta käytät asiointiin Venmossa. Vaikka on olemassa joitakin kolmannen osapuolen integraatioita Splitwisen kaltaisten sivustojen kanssa, useimmiten sovellus on listattu joko ”Venmo for Android” tai ”Venmo for iPhone”. Tämä tieto voi olla hyödyllinen useissa hyökkäyksissä. Hakkerit saattavat esimerkiksi yrittää kalastella Apple ID -tunnuksiasi, jos he tietävät, että käytät iPhonea.

Koska Venmo helpottaa rahansiirtoa, on myös mahdollista, että rahaa vaihdetaan ei-laillisiin tavaroihin. Nopea haku muutamalla huumeiden nimellä ja slangisanalla tuo esiin satoja transaktioita. Vaikka on mahdollista, että monet näistä olivat vitsejä – myönnettäköön, että ystäväni tekevät näin – jos nämä kuvaukset olisivat paikkansapitäviä, hyökkääjä voisi käyttää näitä tietoja kiristykseen.

Mutta todennäköisin verkkohyökkäys, joka toteutetaan Venmo-tietojen avulla, on spearphishing – ja sovelluksen kautta saatavilla olevien erityistietojen määrä tekisi hyvin vakuuttavan phishin. Hyökkääjä voisi helposti löytää luettelon ihmisistä, joiden kanssa kohde on useimmin tekemisissä, sekä kyseisen henkilön yleisimmät kulutustottumukset. Jos esimerkiksi Andy on usein vuorovaikutuksessa Shannonin kanssa maksaakseen konserttilippuja, hyökkääjä voisi laatia Andylle erittäin uskottavan phishing-viestin, joka näyttäisi siltä, että Shannon on jakamassa konserttitietoja hänen kanssaan ja että hänen pitäisi kirjautua sisään Ticketmaster-tililleen nähdäkseen ne.

Yllättävää kyllä, en ole ensimmäinen, joka on paljastanut potentiaalin käyttää Venmo-tietoja hakkeroinnin toteuttamiseen. Itse asiassa useat insinöörit, jotka tutkivat Venmon API:ta ennen minua, pystyivät dumppaamaan paljon enemmän tietoja paljon nopeammin kuin minä, mikä viittaa siihen, että Venmo on tehnyt joitain infrastruktuurimuutoksia.

Pienistä parannuksista huolimatta Venmon julkinen API-päätepiste tarjoaa edelleen palkkion pahoille toimijoille. Hyviä uutisia? Voit suojautua muuttamalla yksityisyysasetuksesi yksityiseksi – ja merkitsemällä myös kaikki aiemmat tapahtumasi yksityisiksi. Käyttäjien on päätettävä, kumpi on arvokkaampaa: yksityisyys vai digitaalinen sosiaalisuus. Kuten viime aikoina on käynyt tuskallisen selväksi, jos et maksa tuotteesta, olet itse tuote.

WIRED Opinion julkaisee ulkopuolisten kirjoittajien kirjoittamia artikkeleita ja edustaa monenlaisia näkökulmia. Lue lisää mielipiteitä täältä. Lähetä mielipidekirjoitus osoitteessa [email protected]