Mint sokan, én is a Venmo-t használom, hogy fizessek dolgokért: megosztani a csekket a vacsoránál, elküldeni a szobatársamnak a közüzemi számlák rám eső részét minden hónapban, megtéríteni a barátoknak a koncertjegyeket. Ez egy hasznos alkalmazás pénz küldésére és fogadására, függetlenül attól, hogy kinek a bankjánál fizetsz.

Múlt nyáron, miután a villanyszámla egy részét a Venmon keresztül fizettem ki, elkezdtem azon gondolkodni, hogy vannak-e lyukak, amiket kilyukaszthatok az alkalmazásban. Akkoriban végzős hallgató voltam, aki informatikai biztonságot tanult, és úgy gondoltam, kereshetnék egy kis pluszpénzt. A Venmo a PayPal tulajdonában van, amelynek van egy nyilvános bug bounty programja – vagyis fizet a hackereknek azért, hogy jelentsenek biztonsági réseket a termékeiben.

Miután a telefonom forgalmát a laptopomon keresztül proxyként továbbítottam, figyeltem a hálózati forgalmat, ahogy az alkalmazáson keresztül navigáltam. Észrevettem, hogy a Venmo kezdőlapjának megnyitásakor az idegenek által végrehajtott tranzakciók élő közvetítése jelenik meg. Láttam egy nyilvános API végpontot, amely visszaküldte az adatokat ehhez a feedhez, ami azt jelenti, hogy egy GET-kérelemmel (mint egy egyszerű oldalletöltés) bárki megtekintheti az alkalmazáson a világ bármely pontján bárki által végrehajtott legutóbbi 20 tranzakciót. Meglepetésemre ez a végpont az alkalmazáson kívül is elérhető volt, engedélyezés nélkül. Némi kísérletezés után rájöttem, hogy percenként, IP-címenként két kérést tudok intézni a tranzakciós adatokhoz.

Írtam egy gyors, 20 soros Python-szkriptet, és elkezdtem lekérdezni az API-t két különböző IP-címről. Még a sebességkorlátozással együtt is, amely korlátozza az egy IP-ről érkező kérések sebességét, napi 115 000 tranzakciót tudtam letölteni. Néhány hetente, ha volt egy kis szabadidőm, újraindítottam a kaparást, megtisztítottam az adatokat, és betápláltam őket egy MongoDB adatbázisba.

Eredetileg nem voltak konkrét terveim az adatokkal; mivel elég sok, adatelemzéssel és vizualizációval kapcsolatos tanfolyamot végeztem, úgy gondoltam, érdekes lehet kitalálni, hogy melyik emojit használták leggyakrabban a tranzakciós megjegyzésben. (Furcsa módon ez a 🏈.) De a múlt hónapban újra átnéztem az adatokat, hogy megnézzem, mi mást tudnék még belőlük összegyűjteni.

Amint átnéztem az adathalmazt, aggasztani kezdett, hogy ilyen könnyen sikerült ilyen nagy gyűjteményt gyűjtenem az emberek pénzügyi tevékenységéről, még ha az olyan, többnyire ártalmatlan tevékenységekről is szólt, mint például egy pizza árának megosztása.

Természetesen a legtöbb Venmót használó ember tisztában van azzal, hogy tranzakcióik – amelyeket jellemzően egy rövid leírással vagy egy emoji-sorozattal ábrázolnak – bárki számára láthatóak, aki rákeres a felhasználónevükre. Elvégre a Venmo egyik értékesítési pontja az, hogy az alkalmazás egyszerűvé és közösségi jellegűvé teszi a pénzküldést és -fogadást. De ezek a nyilvános adatok nem olyan ártalmatlanok, mint gondolnánk.

Azt kérdeztem magamtól: “Ha támadó lennék, és lenne egy konkrét célpontom, mit tudnék megtudni az adott személyről ezekből az adatokból?”. Hasznos lenne számomra?” A válasz igen, elég sok hasznos információ áll itt rendelkezésre aljas célokra.

Először is, látom, hogy melyik alkalmazást használja a Venmon való üzleteléshez. Bár van néhány harmadik féltől származó integráció olyan oldalakkal, mint a Splitwise, a legtöbb esetben az alkalmazás vagy “Venmo for Android” vagy “Venmo for iPhone” néven szerepel. Ez az információ számos támadás esetén hasznos lehet. A hackerek például megpróbálhatják kicsalni az Apple ID hitelesítő adatait, ha tudják, hogy iPhone-t használ.

Mivel a Venmo megkönnyíti a pénzátutalást, az is előfordulhat, hogy a pénzt nem legális árukra cserélik. Egy gyors keresés néhány drognévre és szlengkifejezésre több száz tranzakciót talál. Bár lehetséges, hogy ezek közül sok csak vicc volt – igaz, a barátaim is ezt csinálják -, ha ezek a leírások pontosak, egy támadó képes lehet zsarolásra használni ezeket az információkat.

A legvalószínűbb kibertámadás azonban, amelyet a Venmo adatainak felhasználásával hajtanak végre, a spearphishing – és az alkalmazáson keresztül elérhető konkrét információk mennyisége nagyon meggyőző adathalászatot tenne lehetővé. Egy támadó könnyen találhatna egy listát azokról az emberekről, akikkel a célpontja a leggyakrabban érintkezik, valamint az adott személy gyakori költési szokásairól. Ha például Andy gyakran lép kapcsolatba Shannonnal, hogy koncertjegyekért fizessen, egy támadó egy nagyon hihető adathalász üzenetet készíthet Andy számára, amely úgy néz ki, mintha Shannon megosztaná vele a koncertre vonatkozó információkat, és mintha be kellene jelentkeznie a Ticketmaster-fiókjába, hogy megnézze azokat.

Nem meglepő módon nem én vagyok az első, aki felfedte a Venmo adatok felhasználásának lehetőségét hackertámadások végrehajtásához. Valójában több mérnök, aki előttem vizsgálta a Venmo API-ját, sokkal több adatot tudott kidobni, sokkal gyorsabban, mint én, ami arra utal, hogy a Venmo végrehajtott néhány infrastrukturális változtatást.

A kisebb fejlesztések ellenére a Venmo nyilvános API végpontja még mindig fejpénzt kínál a rossz szereplők számára. A jó hír? Megvédheti magát, ha adatvédelmi beállításait privátra változtatja – és az összes korábbi tranzakcióját is privátként jelöli meg. A felhasználókon múlik, hogy mi ér többet: a magánéletük vagy a digitális szociabilitásuk. Amint az a közelmúltban fájdalmasan világossá vált, ha nem fizetsz a termékért, akkor te vagy a termék.

AWIRED Opinion külső szerzők által írt cikkeket tesz közzé, és a nézőpontok széles skáláját képviseli. További véleményeket itt olvashat. Küldjön véleményt a [email protected]

Még több nagyszerű WIRED-sztori

• Változtassa meg az életét: Bestride a bidén
• A Facebook Libra leleplezi a Szilícium-völgy meztelen ambícióit
• Jigsaw kísérletképpen megvett egy orosz trollkampányt
• Minden, amit tudni akarsz – és tudnod kell – az idegenekről
• Egy nagyon gyors kör a hegyekben egy hibrid Porsche 911-essel
• 💻 Dobd fel a munkádat Gear csapatunk kedvenc laptopjaival, billentyűzetek, gépelési alternatívák és zajszűrő fejhallgatók
• 📩 Szeretnél többet? Iratkozz fel napi hírlevelünkre, és soha ne maradj le legújabb és legjobb történeteinkről