Ik heb miljoenen Venmo-betalingen geplunderd. Uw gegevens zijn in gevaar

Net als veel mensen gebruik ik Venmo om voor dingen te betalen: om de rekening bij een etentje te delen, om mijn huisgenoot elke maand mijn deel van de energierekeningen te sturen, om vrienden te vergoeden voor concertkaartjes. Het is een handige app voor het verzenden en ontvangen van geld, ongeacht bij wie je bankiert.

WIRED OPINION

ABOUT

Dan Salmon is een master afgestudeerd aan de Minnesota State University die gespecialiseerd is in informatiebeveiliging.

Afgelopen zomer, na het betalen van mijn deel van de elektriciteitsrekening via Venmo, begon ik me af te vragen of er gaten waren die ik in de app kon porren. Ik was een grad student die informatiebeveiliging studeerde op dat moment, en ik dacht dat ik misschien wat extra geld kon verdienen. Venmo is eigendom van PayPal, dat een openbaar bug bounty-programma heeft – dat wil zeggen dat het hackers betaalt om beveiligingslekken in zijn producten te melden.

Terwijl ik het verkeer van mijn telefoon via mijn laptop proxte, bekeek ik het netwerkverkeer terwijl ik door de app navigeerde. Ik zag dat wanneer je de startpagina van Venmo opent, je een live feed te zien krijgt van transacties die door onbekenden worden gedaan. Ik kon een openbaar API-eindpunt zien dat de gegevens voor deze feed retourneerde, wat betekent dat iedereen een GET-verzoek kon doen (zoals een eenvoudige paginaload) om de laatste 20 transacties te zien die op de app waren gedaan door iedereen over de hele wereld. Tot mijn verbazing was dit eindpunt zelfs buiten de app toegankelijk, zonder dat autorisatie nodig was. Na wat experimenteren, ontdekte ik dat ik twee verzoeken voor transactiegegevens per minuut kon doen, per IP-adres.

Ik schreef een snel, 20-regelig Python script en begon de API van twee verschillende IP’s te schrapen. Zelfs met een snelheidslimiet op zijn plaats, die de snelheid beperkt waarmee een enkele IP verzoeken kan doen, kon ik 115.000 transacties per dag downloaden. Om de paar weken, als ik wat vrije tijd had, begon ik opnieuw met het schrapen, het opschonen van de gegevens en het invoeren in een MongoDB-database.

In eerste instantie had ik geen concrete plannen met de gegevens; na een behoorlijk aantal cursussen te hebben gevolgd met betrekking tot data-analyse en visualisatie, dacht ik dat het misschien interessant zou zijn om erachter te komen welke emoji het vaakst werd gebruikt in de transactienota. (Vreemd genoeg is het de 🏈.) Maar vorige maand heb ik de gegevens opnieuw bekeken om te zien wat ik er nog meer uit kon halen.

Toen ik de verzameling bestudeerde, werd ik bezorgd over het feit dat ik zo gemakkelijk zo’n grote verzameling financiële activiteiten van mensen had kunnen verzamelen, zelfs als het ging om meestal onschuldige activiteiten zoals het delen van de kosten van een pizza.

Natuurlijk zijn de meeste mensen die Venmo gebruiken zich ervan bewust dat hun transacties – meestal weergegeven met een korte beschrijving of een reeks emoji- zichtbaar zijn voor iedereen die hun gebruikersnaam doorzoekt. Een van de verkoopargumenten van Venmo is immers dat de app het versturen en ontvangen van geld gemakkelijk en sociaal maakt. Maar die openbare gegevens zijn niet zo onschuldig als je zou denken.

Ik vroeg mezelf af “Als ik een aanvaller was en ik had een specifiek doelwit in gedachten, wat zou ik dan uit deze gegevens over die persoon kunnen afleiden? Is het nuttig voor mij?” Het antwoord is ja, er is een behoorlijke hoeveelheid nuttige informatie hier beschikbaar voor snode doeleinden.

First, ik kan zien welke app je gebruikt om zaken te doen op Venmo. Hoewel er enkele derde partij integraties met sites zoals Splitwise, voor het grootste deel van de app wordt vermeld als ofwel “Venmo voor Android” of “Venmo voor iPhone.” Deze informatie kan nuttig zijn voor een aantal aanvallen. Hackers kunnen bijvoorbeeld proberen uw Apple ID-gegevens te phishen als ze weten dat u een iPhone gebruikt.

Aangezien Venmo de overdracht van geld vergemakkelijkt, is er ook de mogelijkheid dat het geld wordt uitgewisseld voor niet-legale goederen. Een snelle zoekopdracht naar een paar drugsnamen en slangtermen levert honderden transacties op. Hoewel het mogelijk is dat veel van deze transacties grappen waren – toegegeven, mijn vrienden doen dit – als deze beschrijvingen nauwkeurig waren, kan een aanvaller dergelijke informatie gebruiken voor chantage.

Maar de meest waarschijnlijke cyberaanval die wordt uitgevoerd met behulp van Venmo-gegevens is spearphishing – en de hoeveelheid specifieke informatie die beschikbaar is via de app zou een zeer overtuigende phish mogelijk maken. Een aanvaller zou gemakkelijk een lijst kunnen vinden van de mensen met wie zijn doelwit het vaakst contact heeft, evenals de gebruikelijke bestedingsgewoonten van die persoon. Als Andy bijvoorbeeld regelmatig contact heeft met Shannon om voor concertkaartjes te betalen, kan een aanvaller een zeer geloofwaardige phishingboodschap voor Andy opstellen die eruit ziet alsof Shannon informatie over een concert met hem deelt en dat hij moet inloggen op zijn Ticketmaster-account om het te bekijken.

Het is verrassend dat ik niet de eerste ben die de mogelijkheid onthult om Venmo-gegevens te gebruiken om hacks uit te voeren. Verschillende technici die de API van Venmo voor mij hebben onderzocht, hebben veel meer en veel snellere gegevens kunnen dumpen dan ik, wat erop wijst dat Venmo enkele infrastructuurwijzigingen heeft doorgevoerd.

Ondanks kleine verbeteringen biedt het openbare API-eindpunt van Venmo nog steeds een premie voor slechte actoren. Het goede nieuws? Je kunt jezelf beschermen door je privacyinstellingen op privé te zetten en al je eerdere transacties ook als privé te markeren. Het is aan de gebruikers om te beslissen wat meer waard is: hun privacy of hun digitale gezelligheid. Zoals onlangs pijnlijk duidelijk is geworden, als je niet betaalt voor het product, ben je het product.

WIRED Opinie publiceert stukken geschreven door externe bijdragers en vertegenwoordigt een breed scala aan standpunten. Lees meer opinies hier. Stuur een opiniestuk naar [email protected]