• 發布單位:TWCERT/CC
• 更新日期:2020-05-26
• 點閱次數:523

Venmo交易記錄在一個公開 API 中，因為預設對所有用戶都設置「公開」，因此任何人可透過其API窺探大多數交易

Venmo是PayPal旗下的一個知名的行動支付服務，讓用戶可以使用手機或網頁轉帳給他人，2009年創辦推出後，2012年BrainTree以2620萬美元收購了Venmo，而一年後PayPal以8億美元收購了Braintree，現在Venmo是PayPal的官方子公司。

該產品的特色為人們可以公開自己的支付行為，有點類似發朋友圈，寫上轉帳事由，並添加一些表情，是美國知名的行動支付服務。然而根據最近對隱私宣導者的調查, 絕大多數的 Venmo 交易記錄在一個公開 API 中，且任何人都可以存取，原因是因為Venmo應用程式預設對所有用戶都設置為「公開」，除非用戶特地去更改設定，否則他們透過Venmo匯款應用程式進行的所有交易都會被記錄下來，並透過Venmo公開API提供給任何人。

透過此API公開的資料包括發件人和收件人的姓名、Venmo頭像、交易日期、交易相關的評論、交易類型等。發現此問題的隱私權倡導者Hang Do Thi Duc表示，他使用此隱私政策查詢Venmo API並下載公司2017年公開交易共207,984,218的所有資料。

並建立了一個名為「Public by Default」的網站，列出了一些相互關聯的Venmo付款案例，例如，Duc追蹤與大麻經銷商、玉米經銷商、部分家庭或隨機的夫婦相關的交易，甚至某女性有關2,033次Venmo交易的故事。

Duc也發布有關Venmo用戶如何將其個人資料的隱私從公開更改為私人的視覺化說明，用戶也可以訪問連結以查看公開API中記錄的最新Venmo交易。

●TWCERT/CC建議，Venmo用戶如不願公開交易紀錄，應進行隱私設定，以免交易紀錄曝光。

參考連結：

https://www.bleepingcomputer.com/news/security/paypals-venmo-app-exposes-most-transactions-via-its-api/
https://publicbydefault.fyi/
https://publicbydefault.fyi/#venmo
https://venmo.com/api/v5/public
https://venmo.com/api/v5/public?limit=1