Jak wielu ludzi, używam Venmo do płacenia za rzeczy: aby podzielić czek przy kolacji, aby wysłać mojemu współlokatorowi moją część rachunków za media każdego miesiąca, aby zwrócić przyjaciołom pieniądze za bilety na koncert. Jest to przydatna aplikacja do wysyłania i odbierania pieniędzy, niezależnie od tego, z kim masz bank.

Zeszłego lata, po zapłaceniu mojej części rachunku za prąd za pośrednictwem Venmo, zacząłem się zastanawiać, czy w aplikacji są dziury, które mógłbym załatać. Byłem wtedy studentem studiów magisterskich na kierunku bezpieczeństwo informacji i pomyślałem, że mógłbym zarobić trochę dodatkowej gotówki. Właścicielem Venmo jest PayPal, który posiada publiczny program bug bounty, czyli płaci hakerom za zgłaszanie luk w zabezpieczeniach swoich produktów.

Po przekierowaniu ruchu z mojego telefonu przez laptopa, obserwowałem ruch sieciowy podczas poruszania się po aplikacji. Zauważyłem, że kiedy otwierasz stronę główną Venmo, pokazuje ci się transmisja na żywo transakcji dokonywanych przez nieznajomych. Mogłem zobaczyć publiczny punkt końcowy API, który zwracał dane dla tego kanału, co oznacza, że każdy mógł wykonać żądanie GET (jak zwykłe załadowanie strony), aby zobaczyć ostatnie 20 transakcji dokonanych w aplikacji przez każdego na całym świecie. Ku mojemu zaskoczeniu, ten punkt końcowy był dostępny nawet poza aplikacją, bez konieczności autoryzacji. Po kilku eksperymentach stwierdziłem, że mogę wykonać dwa żądania danych transakcji na minutę, na adres IP.

Napisałem szybki, 20-liniowy skrypt Pythona i zacząłem skrobać API z dwóch różnych IP. Nawet przy zastosowaniu limitu prędkości, który ogranicza prędkość, z jaką pojedynczy adres IP może wykonywać żądania, mogłem pobrać 115 000 transakcji dziennie. Co kilka tygodni, jeśli miałem trochę wolnego czasu, zaczynałem skrobanie od nowa, czyszcząc dane i wprowadzając je do bazy danych MongoDB.

Początkowo nie miałem żadnych konkretnych planów co do danych; po odbyciu sporej liczby kursów dotyczących analizy i wizualizacji danych, pomyślałem, że interesujące może być sprawdzenie, które emoji było najczęściej używane w notatce o transakcji. (Co dziwne, jest to 🏈.) Ale w zeszłym miesiącu, ponownie przejrzałem dane, aby zobaczyć, co jeszcze mogę z nich zebrać.

Jak wertowałem trove, stałem się zaniepokojony, że byłem w stanie zgromadzić tak dużą kolekcję działalności finansowej ludzi tak łatwo, nawet jeśli było to dla większości niewinnych działań, takich jak podział kosztów pizzy.

Oczywiście, większość ludzi korzystających z Venmo jest świadoma, że ich transakcje – zazwyczaj reprezentowane przez krótki opis lub serię emoji – są widoczne dla każdego, kto wyszukuje ich nazwę użytkownika. W końcu jedną z zalet Venmo jest to, że aplikacja sprawia, że wysyłanie i otrzymywanie pieniędzy jest łatwe i społeczne. Ale te publiczne dane nie są tak niewinne, jak mogłoby się wydawać.

Zadałem sobie pytanie: „Gdybym był napastnikiem i miał na myśli konkretny cel, co mógłbym wyczytać o tej osobie z tych danych? Czy jest to dla mnie przydatne?” Odpowiedź brzmi: tak, jest tu całkiem sporo przydatnych informacji dostępnych do nikczemnych celów.

Po pierwsze, mogę sprawdzić, jakiej aplikacji używasz do robienia interesów na Venmo. Chociaż istnieją pewne integracje stron trzecich z witrynami takimi jak Splitwise, w przeważającej części aplikacja jest wymieniona jako „Venmo dla Androida” lub „Venmo dla iPhone’a”. Ta informacja może być przydatna do wielu ataków. Na przykład, hakerzy mogą próbować wyłudzić twoje dane uwierzytelniające Apple ID, jeśli wiedzą, że używasz iPhone’a.

Ponieważ Venmo ułatwia transfer pieniędzy, istnieje również możliwość, że są one wymieniane na towary nielegalne. Szybkie wyszukanie kilku nazw narkotyków i slangowych określeń powoduje pojawienie się setek transakcji. Choć możliwe, że wiele z nich to żarty – przyznaję, że moi znajomi tak robią – jeśli te opisy byłyby dokładne, atakujący mógłby wykorzystać takie informacje do szantażu.

Ale najbardziej prawdopodobnym cyberatakiem przeprowadzonym przy użyciu danych z Venmo jest spearphishing – a ilość specyficznych informacji dostępnych za pośrednictwem aplikacji pozwoliłaby na stworzenie bardzo przekonującego phisha. Atakujący mógłby z łatwością znaleźć listę osób, z którymi jego cel najczęściej wchodzi w interakcje, jak również jego typowe nawyki związane z wydawaniem pieniędzy. Na przykład, jeśli Andy często kontaktuje się z Shannon, aby płacić za bilety na koncert, atakujący mógłby stworzyć bardzo wiarygodną wiadomość phishingową dla Andy’ego, która wyglądałaby tak, jakby Shannon dzieliła się z nim informacjami o koncercie i aby mógł je zobaczyć, powinien zalogować się na swoje konto Ticketmaster.

Niespodziewanie, nie jestem pierwszym, który ujawnił potencjał wykorzystania danych z Venmo do przeprowadzenia włamania. W rzeczywistości, kilku inżynierów, którzy zbadali API Venmo przede mną, było w stanie zrzucić znacznie więcej danych, znacznie szybciej niż ja, co sugeruje, że Venmo wprowadziło pewne zmiany w infrastrukturze.

Pomimo drobnych ulepszeń, publiczny punkt końcowy API Venmo nadal zapewnia nagrodę dla złych aktorów. Dobra wiadomość? Możesz się zabezpieczyć zmieniając swoje ustawienia prywatności na prywatne i oznaczając wszystkie swoje poprzednie transakcje jako prywatne. To użytkownicy muszą zdecydować, co jest warte więcej: ich prywatność czy ich cyfrowa towarzyskość. Jak ostatnio stało się boleśnie jasne, jeśli nie płacisz za produkt, jesteś produktem.

WIRED Opinion publikuje prace napisane przez zewnętrznych współpracowników i reprezentuje szeroki zakres punktów widzenia. Przeczytaj więcej opinii tutaj. Prześlij op-ed na [email protected]

Więcej wspaniałych historii WIRED

• Zmień swoje życie: bestride the bidet
• Facebook’s Libra reveals Silicon Valley’s naked ambition
• Jigsaw bought a Russian troll campaign as an experiment
• Everything you want-and need to know about aliens
• Bardzo szybki obrót przez wzgórza w hybrydowym Porsche 911
• 💻 Ulepsz swoją grę roboczą dzięki ulubionym laptopom naszego zespołu Gear, klawiatury, alternatywy do pisania i słuchawki z redukcją szumów
• 📩 Chcesz więcej? Zapisz się do naszego codziennego newslettera i nigdy nie przegap naszych najnowszych i najwspanialszych historii