Am răzuit milioane de plăți Venmo. Datele dvs. sunt în pericol

Ca mulți oameni, folosesc Venmo pentru a plăti lucruri: pentru a împărți nota de plată la cină, pentru a-i trimite colegului meu de cameră partea mea din facturile de utilități în fiecare lună, pentru a rambursa prietenii pentru bilete la concerte. Este o aplicație utilă pentru a trimite și a primi bani, indiferent cu cine sunteți la bancă.

WIRED OPINION

ABOUT

Dan Salmon este absolvent de masterat la Minnesota State University, specializat în securitatea informațiilor.

Vara trecută, după ce mi-am plătit partea mea din factura de electricitate prin Venmo, am început să mă întreb dacă există găuri pe care aș putea să le fac în aplicație. Eram un student absolvent care studia securitatea informațiilor la acea vreme și m-am gândit că aș putea face niște bani în plus. Venmo este deținută de PayPal, care are un program public de recompensă pentru bug-uri – adică plătește hackerii pentru a raporta vulnerabilități de securitate în produsele sale.

După ce am făcut proxy pentru traficul telefonului meu prin laptop, am urmărit traficul de rețea în timp ce navigam prin aplicație. Am observat că, atunci când deschideți pagina principală Venmo, vi se afișează un feed live al tranzacțiilor efectuate de necunoscuți. Am putut vedea un endpoint API public care returna datele pentru acest flux, ceea ce înseamnă că oricine putea face o cerere GET (ca o simplă încărcare de pagină) pentru a vedea cele mai recente 20 de tranzacții efectuate în aplicație de către oricine din întreaga lume. Spre surprinderea mea, acest endpoint era accesibil chiar și în afara aplicației, fără a fi nevoie de autorizație. După câteva experimente, am descoperit că puteam face două cereri pentru datele de tranzacție pe minut, pentru fiecare adresă IP.

Am scris un script Python rapid, de 20 de linii, și am început să răzuiesc API-ul de la două IP-uri diferite. Chiar și cu o limită de viteză în vigoare, care limitează viteza cu care un singur IP poate face cereri, am putut descărca 115.000 de tranzacții pe zi. La fiecare câteva săptămâni, dacă aveam timp liber, începeam din nou răzuirea, curățând datele și introducându-le într-o bază de date MongoDB.

Ințial, nu aveam planuri concrete pentru date; după ce am urmat un număr destul de mare de cursuri care implicau analiza și vizualizarea datelor, m-am gândit că ar putea fi interesant să-mi dau seama ce emoji era cel mai frecvent utilizat în nota de tranzacție. (Destul de ciudat, este vorba de 🏈.) Dar luna trecută, am revizuit datele pentru a vedea ce altceva aș putea aduna din ele.

În timp ce cercetam trocul, am devenit îngrijorat de faptul că am reușit să adun atât de ușor o colecție atât de mare de activități financiare ale oamenilor, chiar dacă era vorba de activități în mare parte inofensive, cum ar fi împărțirea costului unei pizza.

Desigur, majoritatea oamenilor care folosesc Venmo sunt conștienți de faptul că tranzacțiile lor – reprezentate de obicei printr-o scurtă descriere sau o serie de emoji – sunt vizibile pentru oricine le caută numele de utilizator. La urma urmei, unul dintre argumentele de vânzare ale Venmo este că aplicația face ca trimiterea și primirea de bani să fie ușoară și socială. Dar aceste date publice nu sunt atât de inofensive pe cât ați putea crede.

M-am întrebat: „Dacă aș fi un atacator și aș avea în minte o țintă specifică, ce aș putea culege despre acea persoană din aceste date? Sunt utile pentru mine?” Răspunsul este da, există o cantitate destul de mare de informații utile aici, disponibile în scopuri nefaste.

În primul rând, pot vedea ce aplicație folosiți pentru a face afaceri pe Venmo. Deși există unele integrări ale unor terțe părți cu site-uri precum Splitwise, în cea mai mare parte, aplicația este listată fie ca „Venmo pentru Android”, fie ca „Venmo pentru iPhone”. Aceste informații pot fi utile pentru o serie de atacuri. De exemplu, hackerii ar putea încerca să vă fure acreditările Apple ID dacă știu că folosiți un iPhone.

Din moment ce Venmo facilitează transferul de bani, există, de asemenea, posibilitatea ca banii să fie schimbați pentru bunuri nelegale. O căutare rapidă a câtorva nume de droguri și termeni argotici scoate la iveală sute de tranzacții. Deși este posibil ca multe dintre acestea să fi fost glume – recunosc, prietenii mei fac acest lucru – dacă aceste descrieri ar fi fost exacte, un atacator ar putea folosi astfel de informații pentru șantaj.

Dar cel mai probabil atac cibernetic care să fie efectuat cu ajutorul datelor Venmo este spearphishing-ul – iar cantitatea de informații specifice disponibile prin intermediul aplicației ar face un phish foarte convingător. Un atacator ar putea găsi cu ușurință o listă a persoanelor cu care ținta sa interacționează cel mai frecvent, precum și obiceiurile obișnuite de cheltuieli ale persoanei respective. De exemplu, dacă Andy interacționează frecvent cu Shannon pentru a plăti bilete la concerte, un atacator ar putea crea un mesaj de phishing foarte credibil pentru Andy, care să pară că Shannon îi împărtășește informații despre un concert și că ar trebui să se conecteze la contul său Ticketmaster pentru a le vizualiza.

În mod surprinzător, nu sunt primul care a expus potențialul de utilizare a datelor Venmo pentru a realiza hack-uri. De fapt, mai mulți ingineri care au examinat API-ul Venmo înaintea mea au reușit să descarce mult mai multe date, mult mai repede decât am făcut-o eu, ceea ce sugerează că unele modificări de infrastructură au fost făcute de Venmo.

În ciuda unor îmbunătățiri minore, punctul final al API-ului public al Venmo oferă în continuare o recompensă pentru actorii răi. Vestea bună? Vă puteți proteja modificându-vă setările de confidențialitate la privat – și marcând toate tranzacțiile anterioare ca fiind private, de asemenea. Depinde de utilizatori să decidă ce valorează mai mult: intimitatea lor sau sociabilitatea digitală. După cum a devenit recent dureros de clar, dacă nu plătiți pentru produs, dumneavoastră sunteți produsul.

WIRED Opinion publică articole scrise de colaboratori externi și reprezintă o gamă largă de puncte de vedere. Citiți mai multe opinii aici. Trimiteți un articol de opinie la [email protected]

Mai multe povești grozave WIRED

  • Schimbă-ți viața: bestride the bidet
  • Facebook’s Libra dezvăluie ambiția goală a Silicon Valley
  • Jigsaw a cumpărat o campanie de trolli ruși ca experiment
  • Tot ce vreți și trebuie să știți despre extratereștri
  • Un tur foarte rapid printre dealuri într-un Porsche 911 hibrid
  • 💻 Îmbunătățiți-vă jocul de lucru cu laptopurile preferate ale echipei noastre Gear, tastaturi, alternative de tastare și căști cu anulare a zgomotului
  • 📩 Vreți mai mult? Înscrieți-vă la buletinul nostru informativ zilnic și nu pierdeți niciodată cele mai recente și cele mai bune povești ale noastre

Lasă un răspuns

Adresa ta de email nu va fi publicată.