Личная переписка и сведения о транзакциях пользователей электронного кошелька Venmo доступны всем желающим. К такому выводу пришел немецкий исследователь Ханг До Ти Дук (Hang Do Thi Duc). При помощи API приложения он собрал информацию о более чем 200 млн платежей, выполненных клиентами сервиса в 2017 году. Среди данных, оказавшихся в распоряжении специалиста, — разговоры любовников, финансовые операции торговца наркотиками и частная жизнь семейной пары.

Эксперт выяснил, что по умолчанию программа помечает все транзакции как публичные. Пользователь может изменить настройки приложения, однако при установке на это явно не указывается. В результате API Venmo предоставляет доступ не только к имени и фамилии клиента, но и к переписке под каждым платежом. Несмотря на то что сумма перевода не раскрывается, общедоступная информация позволяет идентифицировать человека и получить сведения о его личной жизни.

В качестве примера Ханг До Ти Дук рассказал на своем сайте о нескольких клиентах Venmo. Не называя имен, специалист сообщил о наркодилере, получившем за год более 900 платежей с характерными комментариями, а также о девушке, потребляющей большое количество фаст-фуда.

В другом случае исследователь выяснил, какие блюда пользуются наибольшим спросом у продавца еды в Калифорнийском университете в Санта-Барбаре и в какое время делается большинство заказов. Эксперт показал, что доступные данные позволяют судить о привычках конкретных людей и анализировать поведение потребителей. Основываясь на полученной информации, Ханг До Ти Дук, в частности, выяснил, что спрос на пиццу возрастает осенью, а молодые люди предпочитают арендовать жилье совместно с друзьями.

Представители Venmo не считают раскрытие персональной информации пользователей проблемой сервиса. В своем комментарии они отметили, что приложение объединяет в себе функции электронного кошелька и социальной сети, поэтому клиенты должны самостоятельно определять уровень доступности своих комментариев и других данных. Тем не менее компания удалила прямую ссылку на документацию по API системы — теперь она перенаправляет посетителя на главную страницу сайта.

По оценкам экспертов, ежемесячная активная аудитория Venmo на рынке США составляет около 7 млн пользователей. Приложение существует с 2009 года и в настоящий момент принадлежит PayPal. Материнская платежная система не впервые оказывается в поле зрения ИБ-специалистов из-за своих дочерних компаний. В конце прошлого года киберпреступники получили доступ к персональным данным 1,6 млн клиентов аффилированной с платформой сети TIO Networks.

Категории: Другие темы