He raspado millones de pagos de Venmo. Tus datos están en peligro

Posted by admin Articles

Como mucha gente, uso Venmo para pagar cosas: para dividir la cuenta en la cena, para enviar a mi compañero de piso mi parte de las facturas de los servicios públicos cada mes, para reembolsar a los amigos las entradas de los conciertos. Es una aplicación útil para enviar y recibir dinero, independientemente de la entidad bancaria con la que lo hagas.

Opinión de WIRED

Acerca de

Dan Salmon es un graduado del máster de la Universidad Estatal de Minnesota que se especializa en seguridad de la información.

El verano pasado, después de pagar mi parte de la factura de la luz a través de Venmo, empecé a preguntarme si había agujeros que pudiera hurgar en la aplicación. Por aquel entonces era un estudiante de posgrado que estudiaba seguridad de la información y pensé que podría ganar algo de dinero extra. Venmo es propiedad de PayPal, que tiene un programa público de recompensas por errores, es decir, paga a los hackers para que informen de las vulnerabilidades de seguridad de sus productos.

Después de enviar el tráfico de mi teléfono a través de mi portátil, observé el tráfico de la red mientras navegaba por la aplicación. Me di cuenta de que cuando abres la página de inicio de Venmo, se te muestra una transmisión en directo de las transacciones que realizan los desconocidos. Pude ver un punto final de la API pública que devolvía los datos para este feed, lo que significa que cualquiera podía hacer una solicitud GET (como una simple carga de página) para ver las últimas 20 transacciones realizadas en la aplicación por cualquier persona en todo el mundo. Para mi sorpresa, este punto final era accesible incluso fuera de la aplicación, sin necesidad de autorización. Después de algunos experimentos, descubrí que podía hacer dos solicitudes de datos de transacciones por minuto, por dirección IP.

Escribí un rápido script Python de 20 líneas y empecé a raspar la API desde dos IPs diferentes. Incluso con un límite de velocidad, que limita la velocidad a la que una sola IP puede hacer peticiones, podía descargar 115.000 transacciones al día. Cada pocas semanas, si tenía algo de tiempo libre, volvía a empezar el scrape, limpiando los datos e introduciéndolos en una base de datos MongoDB.

Inicialmente, no tenía planes concretos para los datos; habiendo tomado un buen número de cursos relacionados con el análisis y la visualización de datos, pensé que podría ser interesante averiguar qué emoji se utilizaba con más frecuencia en la nota de transacción. (Curiosamente, es el 🏈.) Pero el mes pasado, volví a visitar los datos para ver qué más podía sacar de ellos.

Mientras estudiaba detenidamente el tesoro, me preocupó que hubiera sido capaz de amasar una colección tan grande de la actividad financiera de la gente con tanta facilidad, aunque fuera para actividades mayormente inocuas como dividir el coste de una pizza.

Por supuesto, la mayoría de las personas que utilizan Venmo son conscientes de que sus transacciones -típicamente representadas con una breve descripción o una serie de emoji- son visibles para cualquiera que busque su nombre de usuario. Después de todo, uno de los puntos de venta de Venmo es que la aplicación hace que enviar y recibir dinero sea fácil y social. Pero esos datos públicos no son tan inocuos como podría pensarse.

Me pregunté: «Si yo fuera un atacante y tuviera un objetivo específico en mente, ¿qué podría averiguar sobre esa persona a partir de estos datos? ¿Es útil para mí?» La respuesta es sí, hay una buena cantidad de información útil aquí disponible para fines nefastos.

En primer lugar, puedo ver qué aplicación estás usando para hacer negocios en Venmo. Aunque hay algunas integraciones de terceros con sitios como Splitwise, en su mayor parte la aplicación aparece como «Venmo para Android» o «Venmo para iPhone». Esta información puede ser útil para una serie de ataques. Por ejemplo, los hackers podrían intentar suplantar las credenciales de tu ID de Apple si saben que utilizas un iPhone.

Dado que Venmo facilita la transferencia de dinero, también existe la posibilidad de que el dinero se intercambie por productos no legales. Una búsqueda rápida de algunos nombres de drogas y términos de la jerga hace que aparezcan cientos de transacciones. Aunque es posible que muchas de ellas fueran bromas -hay que reconocer que mis amigos lo hacen-, si esas descripciones fueran exactas, un atacante podría utilizar esa información para chantajear.

Pero el ciberataque más probable que se lleve a cabo utilizando los datos de Venmo es el spearphishing, y la cantidad de información específica disponible a través de la aplicación daría lugar a un phishing muy convincente. Un atacante podría encontrar fácilmente una lista de las personas con las que su objetivo interactúa con mayor frecuencia, así como los hábitos de gasto habituales de esa persona. Por ejemplo, si Andy interactúa con frecuencia con Shannon para pagar las entradas de un concierto, un atacante podría elaborar un mensaje de phishing muy creíble para Andy en el que pareciera que Shannon está compartiendo información sobre un concierto con él y que debería iniciar sesión en su cuenta de Ticketmaster para verlo.

Sorprendentemente, no soy el primero en exponer la posibilidad de utilizar los datos de Venmo para llevar a cabo hackeos. De hecho, varios ingenieros que examinaron la API de Venmo antes que yo fueron capaces de volcar muchos más datos, mucho más rápido que yo, lo que sugiere que Venmo ha realizado algunos cambios de infraestructura.

A pesar de las pequeñas mejoras, el punto final de la API pública de Venmo sigue siendo una recompensa para los malos actores. ¿La buena noticia? Puedes protegerte cambiando tu configuración de privacidad a privada y marcando todas tus transacciones pasadas como privadas también. Los usuarios deben decidir qué vale más: su privacidad o su sociabilidad digital. Como ha quedado dolorosamente claro recientemente, si no pagas por el producto, tú eres el producto.

WIRED Opinion publica artículos escritos por colaboradores externos y representa una amplia gama de puntos de vista. Lea más opiniones aquí. Envíe un artículo de opinión en [email protected]

Más grandes historias de WIRED

  • Cambia tu vida: hazte con el bidé
  • La Libra de Facebook revela la ambición desnuda de Silicon Valley
  • Jigsaw compró una campaña de trolls rusos como experimento
  • Todo lo que quieres -y necesitas- saber sobre los extraterrestres
  • Una vuelta muy rápida por las colinas en un Porsche 911 híbrido
  • 💻 Actualiza tu juego de trabajo con los portátiles favoritos de nuestro equipo Gear, teclados, alternativas para escribir y auriculares con cancelación de ruido
  • 📩 ¿Quieres más? Suscríbase a nuestro boletín diario y no se pierda nunca nuestras últimas y mejores historias

Deja una respuesta

Tu dirección de correo electrónico no será publicada.