Come molte persone, uso Venmo per pagare le cose: per dividere il conto a cena, per inviare al mio compagno di stanza la mia parte di bollette ogni mese, per rimborsare gli amici per i biglietti dei concerti. È un’app utile per inviare e ricevere denaro, indipendentemente dalla banca con cui si è in contatto.

L’estate scorsa, dopo aver pagato la mia parte della bolletta della luce tramite Venmo, ho iniziato a chiedermi se ci fossero dei buchi che potevo trovare nell’app. All’epoca ero uno studente laureato che studiava sicurezza delle informazioni, e ho pensato che avrei potuto fare qualche soldo in più. Venmo è di proprietà di PayPal, che ha un programma pubblico di bug bounty – cioè, paga gli hacker per segnalare le vulnerabilità di sicurezza nei suoi prodotti.

Dopo aver fatto il proxy del mio traffico telefonico attraverso il mio portatile, ho guardato il traffico di rete mentre navigavo attraverso l’applicazione. Ho notato che quando si apre la home page di Venmo, viene mostrato un feed live delle transazioni effettuate da sconosciuti. Ho potuto vedere un endpoint API pubblico che stava restituendo i dati per questo feed, il che significa che chiunque potrebbe fare una richiesta GET (come un semplice caricamento di pagina) per vedere le ultime 20 transazioni effettuate sulla app da chiunque in tutto il mondo. Con mia sorpresa, questo endpoint era accessibile anche al di fuori dell’app, senza bisogno di autorizzazione. Dopo qualche esperimento, ho scoperto che potevo fare due richieste di dati sulle transazioni al minuto, per indirizzo IP.

Ho scritto un rapido script Python di 20 righe e ho iniziato a raschiare l’API da due diversi IP. Anche con un limite di velocità in atto, che limita la velocità con cui un singolo IP può fare richieste, potevo scaricare 115.000 transazioni al giorno. Ogni poche settimane, se avevo un po’ di tempo libero, ricominciavo lo scraping, pulendo i dati e inserendoli in un database MongoDB.

Inizialmente, non avevo piani concreti per i dati; avendo seguito un discreto numero di corsi di analisi e visualizzazione dei dati, ho pensato che sarebbe stato interessante capire quale emoji era usato più frequentemente nella nota delle transazioni. (Ma il mese scorso ho rivisitato i dati per vedere cos’altro potevo ricavarne.

Mentre esaminavo il tesoro, mi sono preoccupato di essere riuscito ad accumulare così facilmente una così vasta collezione di attività finanziarie delle persone, anche se si trattava di attività innocue come dividere il costo di una pizza.

Ovviamente, la maggior parte delle persone che usano Venmo sono consapevoli che le loro transazioni – tipicamente rappresentate con una breve descrizione o una serie di emoji – sono visibili a chiunque cerchi il loro nome utente. Dopo tutto, uno dei punti di vendita di Venmo è che l’app rende l’invio e la ricezione di denaro facile e sociale. Ma quei dati pubblici non sono così innocui come si potrebbe pensare.

Mi sono chiesto: “Se fossi un attaccante e avessi un obiettivo specifico in mente, cosa potrei ricavare su quella persona da questi dati? È utile per me?” La risposta è sì, c’è una discreta quantità di informazioni utili qui disponibili per scopi nefasti.

In primo luogo, posso vedere quale app stai usando per fare affari su Venmo. Anche se ci sono alcune integrazioni di terze parti con siti come Splitwise, per la maggior parte l’app è elencata come “Venmo per Android” o “Venmo per iPhone”. Questa informazione può essere utile per una serie di attacchi. Per esempio, gli hacker potrebbero provare a rubare le credenziali del tuo ID Apple se sanno che stai usando un iPhone.

Siccome Venmo facilita il trasferimento di denaro, c’è anche la possibilità che il denaro venga scambiato con beni non legali. Una rapida ricerca per alcuni nomi di droghe e termini gergali fa emergere centinaia di transazioni. Anche se è possibile che molti di questi fossero scherzi – lo ammetto, i miei amici lo fanno – se queste descrizioni fossero accurate, un attaccante potrebbe essere in grado di utilizzare tali informazioni per il ricatto.

Ma il più probabile cyberattacco da condurre utilizzando i dati Venmo è lo spearphishing-e la quantità di informazioni specifiche disponibili tramite l’applicazione renderebbe un phish molto convincente. Un attaccante potrebbe facilmente trovare una lista delle persone con cui il loro obiettivo interagisce più frequentemente, così come le abitudini di spesa comuni di quella persona. Ad esempio, se Andy interagisce frequentemente con Shannon per pagare i biglietti del concerto, un attaccante potrebbe creare un messaggio di phishing molto credibile per Andy che sembra che Shannon stia condividendo informazioni su un concerto con lui e che lui dovrebbe accedere al suo account Ticketmaster per vederlo.

Sorprendentemente, non sono il primo ad esporre il potenziale per l’utilizzo dei dati Venmo per eseguire gli hack. Infatti, diversi ingegneri che hanno esaminato l’API di Venmo prima di me sono stati in grado di scaricare molti più dati, molto più velocemente di me, il che suggerisce che alcuni cambiamenti infrastrutturali sono stati fatti da Venmo.

Nonostante i miglioramenti minori, l’endpoint pubblico API di Venmo fornisce ancora una taglia per i cattivi attori. La buona notizia? Puoi proteggerti cambiando le tue impostazioni di privacy su privato e contrassegnando tutte le tue transazioni passate come private. Sta agli utenti decidere cosa vale di più: la loro privacy o la loro socievolezza digitale. Come è diventato recentemente dolorosamente chiaro, se non paghi per il prodotto, tu sei il prodotto.

WIRED Opinion pubblica pezzi scritti da collaboratori esterni e rappresenta una vasta gamma di punti di vista. Leggi altre opinioni qui. Invia un op-ed a [email protected]

Altre grandi storie di WIRED

• Cambia la tua vita:
• Facebook’s Libra rivela la nuda ambizione della Silicon Valley
• Jigsaw ha comprato una campagna di troll russi come esperimento
• Tutto quello che vuoi e devi sapere sugli alieni
• Un giro velocissimo sulle colline con una Porsche 911 ibrida
• 💻 Migliora il tuo lavoro con i portatili preferiti del nostro team Gear, tastiere, alternative di digitazione e cuffie con cancellazione del rumore
• 📩 Vuoi di più? Iscriviti alla nostra newsletter quotidiana e non perdere mai le nostre ultime e più grandi storie