PayPal旗下Venmo App可透過其API窺探大多數交易
- 發布單位:TWCERT/CC
- 更新日期:2020-05-26
- 點閱次數:523
Venmo交易記錄在一個公開 API 中,因為預設對所有用戶都設置「公開」,因此任何人可透過其API窺探大多數交易
Venmo是PayPal旗下的一個知名的行動支付服務,讓用戶可以使用手機或網頁轉帳給他人,2009年創辦推出後,2012年BrainTree以2620萬美元收購了Venmo,而一年後PayPal以8億美元收購了Braintree,現在Venmo是PayPal的官方子公司。
該產品的特色為人們可以公開自己的支付行為,有點類似發朋友圈,寫上轉帳事由,並添加一些表情,是美國知名的行動支付服務。然而根據最近對隱私宣導者的調查, 絕大多數的 Venmo 交易記錄在一個公開 API 中,且任何人都可以存取,原因是因為Venmo應用程式預設對所有用戶都設置為「公開」,除非用戶特地去更改設定,否則他們透過Venmo匯款應用程式進行的所有交易都會被記錄下來,並透過Venmo公開API提供給任何人。
透過此API公開的資料包括發件人和收件人的姓名、Venmo頭像、交易日期、交易相關的評論、交易類型等。發現此問題的隱私權倡導者Hang Do Thi Duc表示,他使用此隱私政策查詢Venmo API並下載公司2017年公開交易共207,984,218的所有資料。
並建立了一個名為「Public by Default」的網站,列出了一些相互關聯的Venmo付款案例,例如,Duc追蹤與大麻經銷商、玉米經銷商、部分家庭或隨機的夫婦相關的交易,甚至某女性有關2,033次Venmo交易的故事。
Duc也發布有關Venmo用戶如何將其個人資料的隱私從公開更改為私人的視覺化說明,用戶也可以訪問連結以查看公開API中記錄的最新Venmo交易。
●TWCERT/CC建議,Venmo用戶如不願公開交易紀錄,應進行隱私設定,以免交易紀錄曝光。
參考連結:
https://www.bleepingcomputer.com/news/security/paypals-venmo-app-exposes-most-transactions-via-its-api/
https://publicbydefault.fyi/
https://publicbydefault.fyi/#venmo
https://venmo.com/api/v5/public
https://venmo.com/api/v5/public?limit=1