Como muitas pessoas, eu uso Venmo para pagar as coisas: dividir o cheque no jantar, enviar a minha parte das contas de serviços públicos ao meu colega de quarto a cada mês, reembolsar os amigos por ingressos para shows. É um aplicativo útil para enviar e receber dinheiro, independente de com quem você banca.
PINIÃO FIO
BEM
Dan Salmon é um mestre formado pela Universidade Estadual de Minnesota, especializado em segurança da informação.
No verão passado, depois de pagar minha parcela da conta de luz via Venmo, comecei a me perguntar se havia buracos que eu poderia furar no aplicativo. Eu era um estudante graduado estudando segurança da informação na época, e eu pensei que eu poderia ganhar algum dinheiro extra. Venmo é propriedade da PayPal, que tem um programa público de recompensa por bugs – ou seja, paga aos hackers para reportar vulnerabilidades de segurança em seus produtos.
Após proxyar o tráfego do meu telefone através do meu laptop, eu observei o tráfego de rede enquanto navegava pelo aplicativo. Notei que quando você abre a página inicial do Venmo, é mostrado um feed ao vivo de transações sendo feitas por estranhos. Eu podia ver um endpoint API público que estava retornando os dados para este feed, o que significa que qualquer um podia fazer um pedido de GET (como uma simples carga de página) para ver as últimas 20 transações feitas no aplicativo por qualquer pessoa ao redor do mundo. Para minha surpresa, este endpoint era acessível mesmo fora do aplicativo, sem necessidade de autorização. Após alguns experimentos, descobri que podia fazer duas requisições de dados de transação por minuto, por endereço IP.
Eu escrevi um script Python rápido de 20 linhas e comecei a raspar a API a partir de dois IPs diferentes. Mesmo com um limite de taxa em vigor, que limita a velocidade com que um único IP pode fazer pedidos, eu poderia fazer o download de 115.000 transações por dia. A cada poucas semanas, se eu tivesse algum tempo livre, eu começaria a raspar novamente, limpando os dados e alimentando-os em um banco de dados MongoDB.
Inicialmente, eu não tinha planos concretos para os dados; tendo feito um bom número de cursos envolvendo análise e visualização de dados, eu achei que poderia ser interessante descobrir qual emoji era o mais usado na nota de transação. (Estranhamente, é o 🏈.) Mas no mês passado, eu revisitei os dados para ver o que mais eu conseguia reunir deles.
Como eu porei sobre o trove, eu fiquei preocupado que eu tinha sido capaz de acumular uma coleção tão grande de atividade financeira das pessoas tão facilmente, mesmo que fosse para atividades inócuas, como dividir o custo de uma pizza.
De certeza, a maioria das pessoas que usam Venmo estão cientes de que suas transações – tipicamente representadas com uma breve descrição ou uma série de emoji- são visíveis para qualquer pessoa que busque seu nome de usuário. Afinal, um dos pontos de venda do Venmo é que o aplicativo torna o envio e recebimento de dinheiro fácil e social. Mas esses dados públicos não são tão inócuos quanto você poderia pensar.
Eu me perguntei “Se eu fosse um atacante e tivesse um alvo específico em mente, o que eu poderia colher sobre essa pessoa a partir desses dados? É útil para mim?” A resposta é sim, há uma grande quantidade de informação útil aqui disponível para fins nefastos.
Primeiro, eu posso ver qual aplicativo você está usando para fazer negócios no Venmo. Embora existam algumas integrações de terceiros com sites como Splitwise, na maioria das vezes o aplicativo é listado como “Venmo para Android” ou “Venmo para iPhone”. Esta informação pode ser útil para uma série de ataques. Por exemplo, os hackers podem tentar phish suas credenciais de ID Apple se eles souberem que você está usando um iPhone.
Desde Venmo facilita a transferência de dinheiro, há também a possibilidade de que o dinheiro está sendo trocado por bens não legais. Uma busca rápida por alguns nomes de drogas e termos de gírias resulta em centenas de transações. Embora seja possível que muitas delas tenham sido brincadeiras – se essas descrições fossem precisas, um atacante pode ser capaz de usar tais informações para chantagem.
Mas o ataque cibernético mais provável a ser conduzido usando dados de Venmo é a lança – e a quantidade de informações específicas disponíveis através do aplicativo faria um phish muito convincente. Um atacante poderia facilmente encontrar uma lista das pessoas com as quais seu alvo interage mais frequentemente, bem como os hábitos de gastos comuns dessa pessoa. Por exemplo, se Andy interage frequentemente com Shannon para pagar bilhetes de concertos, um atacante poderia criar uma mensagem de phishing altamente credível para Andy que parece que Shannon está compartilhando informações sobre um concerto com ele e que ele deveria entrar em sua conta Ticketmaster para vê-lo.
Não sou o primeiro a expor o potencial de usar os dados de Venmo para realizar hacks. Na verdade, vários engenheiros que examinaram o API de Venmo antes de mim foram capazes de despejar muito mais dados, muito mais rápido do que eu, o que sugere que algumas mudanças de infra-estrutura foram feitas por Venmo.
Embora pequenas melhorias, o endpoint público do API de Venmo ainda fornece uma recompensa para maus atores. A boa notícia? Você pode se proteger alterando suas configurações de privacidade para privado – e marcando todas as suas transações passadas como privadas, também. Cabe aos utilizadores decidir o que vale mais: a sua privacidade ou a sua sociabilidade digital. Como ficou dolorosamente claro recentemente, se você não está pagando pelo produto, você é o produto.
WIRED Opinion publica peças escritas por colaboradores externos e representa uma ampla gama de pontos de vista. Leia mais opiniões aqui. Envie um op-ed em [email protected]
Mais Grandes Histórias WIRED
- Mude a sua vida: passe o bidé
- A Libra do Facebook revela a ambição nua do Silicon Valley
- Jigsaw comprou uma campanha de troll russa como experiência
- Tudo o que quiser – e precisar – saber sobre alienígenas
- Uma volta muito rápida pelas colinas num Porsche híbrido 911
- 💻 Actualize o seu jogo de trabalho com os computadores portáteis favoritos da nossa equipa Gear, teclados, alternativas de digitação e fones de ouvido com cancelamento de ruído
- 📩 Quer mais? Assine nossa newsletter diária e nunca perca nossas últimas e maiores histórias