J’ai gratté des millions de paiements Venmo. Vos données sont à risque

Comme beaucoup de gens, j’utilise Venmo pour payer des trucs : pour partager l’addition au dîner, pour envoyer à mon colocataire ma part des factures de services publics chaque mois, pour rembourser des amis pour des billets de concert. C’est une application utile pour envoyer et recevoir de l’argent, peu importe avec qui vous faites affaire.

WIRED OPINION

ABOUT

Dan Salmon est un diplômé de maîtrise de l’Université d’État du Minnesota qui se spécialise dans la sécurité de l’information.

L’été dernier, après avoir payé ma portion de la facture d’électricité via Venmo, j’ai commencé à me demander s’il y avait des trous que je pourrais percer dans l’application. J’étais alors un étudiant diplômé en sécurité de l’information et je pensais pouvoir gagner un peu d’argent. Venmo appartient à PayPal, qui a un programme public de primes aux bugs – c’est-à-dire qu’il paie les pirates informatiques pour qu’ils signalent les failles de sécurité dans ses produits.

Après avoir fait passer le trafic de mon téléphone par un proxy sur mon ordinateur portable, j’ai observé le trafic réseau lorsque je naviguais dans l’application. J’ai remarqué que lorsque vous ouvrez la page d’accueil de Venmo, on vous montre un flux en direct des transactions effectuées par des inconnus. Je pouvais voir un point de terminaison API public qui renvoyait les données de ce flux, ce qui signifie que n’importe qui pouvait faire une demande GET (comme un simple chargement de page) pour voir les 20 dernières transactions effectuées sur l’application par n’importe qui dans le monde. À ma grande surprise, ce point d’accès était accessible même en dehors de l’application, sans qu’aucune autorisation ne soit nécessaire. Après quelques expériences, j’ai constaté que je pouvais faire deux demandes de données de transaction par minute, par adresse IP.

J’ai écrit un script Python rapide de 20 lignes et j’ai commencé à gratter l’API à partir de deux IP différentes. Même avec une limite de débit en place, qui limite la vitesse à laquelle une seule IP peut faire des demandes, je pouvais télécharger 115 000 transactions par jour. Toutes les quelques semaines, si j’avais un peu de temps libre, je recommençais le scrape, nettoyant les données et les introduisant dans une base de données MongoDB.

Au départ, je n’avais aucun projet concret pour ces données ; ayant suivi un bon nombre de cours impliquant l’analyse et la visualisation de données, j’ai pensé qu’il pourrait être intéressant de déterminer quel emoji était le plus fréquemment utilisé dans la note de transaction. (Curieusement, c’est le 🏈.) Mais le mois dernier, j’ai revisité les données pour voir ce que je pouvais en tirer d’autre.

En parcourant ce trésor, j’ai commencé à m’inquiéter du fait que j’avais pu amasser aussi facilement une si grande collection de l’activité financière des gens, même s’il s’agissait d’activités plutôt inoffensives comme le partage du coût d’une pizza.

Bien sûr, la plupart des personnes qui utilisent Venmo sont conscientes que leurs transactions – typiquement représentées par une courte description ou une série d’emoji – sont visibles par quiconque recherche leur nom d’utilisateur. Après tout, l’un des arguments de vente de Venmo est que l’application permet d’envoyer et de recevoir de l’argent facilement et socialement. Mais ces données publiques ne sont pas aussi inoffensives qu’on pourrait le croire.

Je me suis demandé « Si j’étais un attaquant et que j’avais une cible spécifique en tête, que pourrais-je glaner sur cette personne à partir de ces données ? Est-ce que cela m’est utile ? » La réponse est oui, il y a une bonne quantité d’informations utiles ici disponibles à des fins néfastes.

Premièrement, je peux voir quelle application vous utilisez pour faire des affaires sur Venmo. Bien qu’il existe quelques intégrations tierces avec des sites comme Splitwise, la plupart du temps, l’application est répertoriée comme « Venmo pour Android » ou « Venmo pour iPhone ». Ces informations peuvent être utiles pour un certain nombre d’attaques. Par exemple, les pirates peuvent essayer d’hameçonner vos identifiants Apple ID s’ils savent que vous utilisez un iPhone.

Puisque Venmo facilite le transfert d’argent, il y a aussi la possibilité que l’argent soit échangé contre des biens non légaux. Une recherche rapide de quelques noms de drogues et de termes d’argot fait apparaître des centaines de transactions. Bien qu’il soit possible que beaucoup d’entre elles soient des blagues – il est vrai que mes amis font cela – si ces descriptions étaient exactes, un attaquant pourrait être en mesure d’utiliser ces informations pour faire du chantage.

Mais la cyberattaque la plus susceptible d’être menée à l’aide des données Venmo est le hameçonnage – et la quantité d’informations spécifiques disponibles via l’application permettrait de réaliser un hameçonnage très convaincant. Un attaquant pourrait facilement trouver une liste des personnes avec lesquelles sa cible interagit le plus fréquemment, ainsi que les habitudes de dépense de ces personnes. Par exemple, si Andy interagit fréquemment avec Shannon pour payer des billets de concert, un attaquant pourrait élaborer un message de phishing très crédible pour Andy qui ressemblerait à Shannon partageant avec lui des informations sur un concert et l’invitant à se connecter à son compte Ticketmaster pour les consulter.

Sans surprise, je ne suis pas le premier à exposer le potentiel d’utilisation des données Venmo pour réaliser des hacks. En fait, plusieurs ingénieurs qui ont examiné l’API de Venmo avant moi ont pu déverser beaucoup plus de données, beaucoup plus rapidement que moi, ce qui suggère que certains changements d’infrastructure ont été effectués par Venmo.

Malgré des améliorations mineures, le point d’extrémité public de l’API de Venmo offre toujours une prime pour les mauvais acteurs. La bonne nouvelle ? Vous pouvez vous protéger en modifiant vos paramètres de confidentialité pour les rendre privés – et en marquant toutes vos transactions passées comme privées également. C’est aux utilisateurs de décider ce qui a le plus de valeur : leur vie privée ou leur sociabilité numérique. Comme cela est devenu récemment douloureusement clair, si vous ne payez pas pour le produit, vous êtes le produit.

WIRED Opinion publie des articles écrits par des contributeurs extérieurs et représente un large éventail de points de vue. Lisez d’autres opinions ici. Soumettez un article d’opinion à [email protected]

Plus de grandes histoires de WIRED

  • Changez votre vie : bestride le bidet
  • Le Libra de Facebook révèle l’ambition nue de la Silicon Valley
  • Jigsaw a acheté une campagne de trolls russes à titre expérimental
  • Tout ce que vous voulez-et devez savoir sur les extraterrestres
  • Un tour très rapide à travers les collines dans une Porsche 911 hybride
  • 💻 Améliorez votre jeu de travail avec les ordinateurs portables préférés de notre équipe Gear, claviers, alternatives de frappe et casques anti-bruit
  • 📩 Vous en voulez plus ? Inscrivez-vous à notre newsletter quotidienne et ne manquez jamais nos dernières et meilleures histoires

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.