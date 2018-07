Nem bánik túl diszkréten a felhasználók tranzakciós adataival a Venmo: Hang Do Thi Duc biztonsági szakértő szerint, alapértelmezett beállítások mellett a digitális pénztárca a tranzakciók részleteit és a felhasználók személyes adatait API-ján keresztül bárki számára "rendkívül egyszerűen" elérhetővé teszi. A pénzküldési előzmények mellett olyan érzékeny információkról van szó, mint a felhasználók valós, teljes neve, profilképe, egyes esetekben Facebook ID-ja, sőt még a Venmo felületén folytatott beszélgetései is.

A 2009-ben alapított, jelenleg mintegy hétmillió havi aktív felhasználóval rendelkező Venmo mobilfizetési szolgáltatást 2012-ben a Braintree vette meg bő 26 millió dollárért, majd egy évvel később a PayPal tulajdonába került, mikor az egy 800 millió dolláros megállapodás keretei között a teljes Braintree-t bekebelezte. Mára a Venmóval a felhasználók nem csak egymás között küldhetnek pénzt, de a megoldást minden kereskedő elfogadja, amelynél PayPal is használható.

Azonban mint kiderült, a népszerű szolgáltatás a tranzakciós adatokat nem zárja hét lakat alá, sőt, alapértelmezett beállítások mellett az információk a potenciális kíváncsiskodók számára egyszerűen elérhetőek. Ezt demonstrálandó Hang Do Thi Duc egy weboldalt is létrehozott, Public By Default néven, ahol a 2017-es évből közel 208 millió nyilvános Venmo tranzakciós adatot gyűjtött össze és tett közzé, melyek alapján ahogy fogalmaz, "aggasztóan sokat" tudott meg a szolgáltatás felhasználóiról.

A szakértő blogposztjában több valós személyt is kiemel, akikről a Venmo API-n keresztül adatokat tudott gyűjteni, és akikről meglepően sok információ szerezhető a Venmo aktivitáson keresztül. A legláttatóbb talán a "Kannabiszárusként" emlegetett felhasználó, akinek pénzküldési történetéből, illetve az azokhoz kapcsolt, jobbára a marihuánát fedő szlengszavakból építkező megjegyzésekből kiderül, az illető virágzó üzletet folytat, a tavalyi év során összesen mintegy 920 alkalommal fogadott pénzt termékeiért a szolgáltatásban. A tranzakciók száma mellett az is rögtön kiderül, hogy a felhasználó Kaliforniában, Santa Barbarában üzletel.

Talán a legijesztőbb, hogy az adatokhoz név is tartozik, a közel 208 millió tranzakcióból a kutató összesen közel 1,2 millió egyedi vezetéknevet gyűjtött ki, továbbá több mint 1,7 millió Facebook azonosítót is, ha a név alapján nem lenne elég könnyű beazonosítani a fiók tulajdonosát. A szolgáltatást egyébként valamivel több mint 18,4 millióan használják alapértelmezett beállítások mellett, azaz nyilvánosan megosztott tranzakcióadatokkal. A Venmo egyébként látványos tempóban növekszik, a Pubic By Default adatai szerint az adataikat nyilvánosan megosztó felhasználókból mintegy 8 millióan tavaly regisztráltak a szolgáltatásba.

Az adatokból egy sor érdekes trend kirajzolódik, a legnépszerűbb "szó" például a szolgáltatásban a pizzát ábrázoló emoji, a vizsgált felhasználók továbbá a tavaly mintegy 3 millió alkalommal használták a Venmót lakbér fizetésére. 2017 legpörgősebb hétvégéje december elejére esett, itt 59 óra alatt több mint 2,3 millió tranzakció ment végbe. A fenti adatokat is tartalmazó nyilvános Venmo API tehát bárki számára elérhető, abból pedig egyszerűen kinyerhető a felhasználók valódi neve, a profiljukhoz tartozó link, sok esetben a Facebook ID-juk, illetve természetesen tranzakcióadataik, amelyekből egyszerűen kikövetkeztethető közelebbi ismerőseik listája is. Ezen cikk keletkezésekor a Venmo oldalán még szabadon hozzáférhetők az aktuális legfrissebb nyilvános tranzakciók adatai, noha a The Register szerint a cég időközben elkezdte korlátozni a hozzáférést azokhoz.

Remélhetőleg a vállalat nem áll meg ennyinél és alaposan újragondolja a adatkezelési gyakorlatát, vagy legalább egyértelműen figyelmezteti felhasználóit, milyen következményekkel jár, ha a szolgáltatást az alapértelmezett "nyilvános" beállítások mellett használják. A cég ugyanakkor a The Guardiannek egyelőre csak annyit nyilatkozott, egyik legfontosabb prioritásaként kezeli a felhasználók személyes információit, akiknek lehetőségük van privátra állítani profiljukat.