Som många andra använder jag Venmo för att betala för saker: för att dela på notan vid middagen, för att skicka min rumskamrat min del av månadsräkningarna, för att ersätta vänner för konsertbiljetter. Det är en användbar app för att skicka och ta emot pengar, oavsett vem man har sin bank hos.

Förra sommaren, efter att ha betalat min del av elräkningen via Venmo, började jag fundera på om det fanns några hål som jag kunde peta i appen. Jag var en doktorand som studerade informationssäkerhet vid den tidpunkten, och jag tänkte att jag skulle kunna tjäna lite extra pengar. Venmo ägs av PayPal, som har ett offentligt bug bounty-program – det vill säga att de betalar hackare för att rapportera säkerhetsbrister i sina produkter.

Efter att ha proxyat min telefontrafik via min bärbara dator tittade jag på nätverkstrafiken när jag navigerade i appen. Jag märkte att när du öppnar hemsidan för Venmo visas ett liveflöde av transaktioner som görs av främlingar. Jag kunde se en offentlig API-slutpunkt som returnerade data för detta flöde, vilket innebär att vem som helst kan göra en GET-förfrågan (som en enkel sidladdning) för att se de senaste 20 transaktionerna som gjorts i appen av vem som helst runt om i världen. Till min förvåning var denna slutpunkt tillgänglig även utanför appen, utan att någon auktorisering behövdes. Efter lite experimenterande fann jag att jag kunde göra två förfrågningar om transaktionsdata per minut, per IP-adress.

Jag skrev ett snabbt Python-skript på 20 rader och började skrapa API:et från två olika IP-adresser. Även med en hastighetsbegränsning, som begränsar hur snabbt en enskild IP kan göra förfrågningar, kunde jag hämta 115 000 transaktioner per dag. Med några veckors mellanrum, om jag hade lite ledig tid, började jag skrapa igen, rensade data och matade in dem i en MongoDB-databas.

Inledningsvis hade jag inga konkreta planer för datan; efter att ha läst ett ganska stort antal kurser som involverar dataanalys och visualisering, tänkte jag att det kunde vara intressant att ta reda på vilken emoji som användes mest frekvent i transaktionsnotisen. (Märkligt nog är det 🏈.) Men förra månaden återbesökte jag datan för att se vad mer jag kunde samla in från den.

När jag gick igenom materialet blev jag orolig över att jag så lätt hade kunnat samla ihop en så stor samling av människors ekonomiska aktiviteter, även om det gällde mestadels ofarliga aktiviteter som att dela på kostnaden för en pizza.

De flesta som använder Venmo är förstås medvetna om att deras transaktioner – vanligtvis representerade med en kort beskrivning eller en serie emojis – är synliga för alla som söker på deras användarnamn. En av Venmos försäljningsargument är trots allt att appen gör det enkelt och socialt att skicka och ta emot pengar. Men dessa offentliga uppgifter är inte så ofarliga som du kanske tror.

Jag frågade mig själv ”Om jag var en angripare och hade en specifik måltavla i åtanke, vad skulle jag kunna utläsa om den personen från dessa uppgifter? Är de användbara för mig?” Svaret är ja, det finns en hel del användbar information här som är tillgänglig för skändliga syften.

För det första kan jag se vilken app du använder för att göra affärer på Venmo. Även om det finns en del tredjepartsintegrationer med webbplatser som Splitwise, är appen för det mesta listad som antingen ”Venmo för Android” eller ”Venmo för iPhone”. Denna information kan vara användbar vid ett antal attacker. Hackare kan till exempel försöka lura dina Apple ID-uppgifter om de vet att du använder en iPhone.

Då Venmo underlättar överföringen av pengar finns det också en möjlighet att pengarna byts ut mot icke-legala varor. En snabb sökning på några drognamn och slangtermer ger hundratals transaktioner. Även om det är möjligt att många av dessa var skämt – jag medger att mina vänner gör detta – om beskrivningarna var korrekta kan en angripare använda sådan information för utpressning.

Men den mest sannolika cyberattack som genomförs med hjälp av Venmo-data är spearphishing – och den mängd specifik information som finns tillgänglig via appen skulle göra det möjligt att skapa en mycket övertygande phish. En angripare skulle lätt kunna hitta en lista över de personer som deras måltavla oftast interagerar med, samt den personens vanliga utgiftsvanor. Om Andy till exempel ofta interagerar med Shannon för att betala för konsertbiljetter skulle en angripare kunna skapa ett mycket trovärdigt phishing-meddelande för Andy som ser ut som om Shannon delar information om en konsert med honom och att han ska logga in på sitt Ticketmaster-konto för att se den.

Oförvånansvärt nog är jag inte den förste som avslöjar potentialen för att använda Venmo-data för att utföra hackningar. Faktum är att flera ingenjörer som undersökte Venmos API före mig kunde dumpa mycket mer data, mycket snabbare än vad jag gjorde, vilket tyder på att Venmo har gjort vissa infrastrukturförändringar.

Trots smärre förbättringar erbjuder Venmos offentliga API-slutpunkt fortfarande en belöning för dåliga aktörer. De goda nyheterna? Du kan skydda dig genom att ändra dina sekretessinställningar till privat – och markera alla dina tidigare transaktioner som privata också. Det är upp till användarna att avgöra vad som är viktigast: deras integritet eller deras digitala sociala kontakter. Som nyligen blivit smärtsamt tydligt: om du inte betalar för produkten är du produkten.

WIRED Opinion publicerar artiklar som skrivits av externa medarbetare och representerar ett brett spektrum av åsikter. Läs fler åsikter här. Skicka in en opinionsartikel på [email protected]

Mer fantastiska WIRED-historier

• Förändra ditt liv: bestrid bidéet
• Facebooks Libra avslöjar Silicon Valleys nakna ambitioner
• Jigsaw köpte en rysk trollkampanj som ett experiment
• Allt du vill – och behöver – veta om utomjordingar
• En mycket snabb snurr genom kullarna i en hybrid Porsche 911
• 💻 Uppgradera ditt arbetsspel med vårt Gear-teams favoritlaptops, tangentbord, skrivalternativ och brusreducerande hörlurar
• 📩 Vill du ha mer? Anmäl dig till vårt dagliga nyhetsbrev och missa aldrig våra senaste och bästa nyheter