Paypal Bezahl-App - Öffentliche Venmo-API macht Transaktionen für jedermann zugänglich

Die API der zu Paypal gehörigen Bezahl-App Venmo ist öffentlich einsehbar. Dadurch kann praktisch jeder sämtliche Transaktionsdetails ihrer Nutzer einsehen.

von Sara Petzold,
19.07.2018 12:08 Uhr

Transaktionsdetails aus der Bezahl-App Venmo sind über die API öffentlich zugänglich.Transaktionsdetails aus der Bezahl-App Venmo sind über die API öffentlich zugänglich.

Obwohl die zu Paypal gehörende Bezahl-App Venmo bislang nur in den USA verfügbar ist, sorgt sie derzeit weltweit für Aufregung. Denn wie die Sicherheitsforscherin Hang Do Thi Duc laut TheRegister herausgefunden hat, sind sämtliche Details von über die App getätigten Transaktionen über die API von Venmo allgemein zugänglich.

Denn wer die Standard-Einstellungen der App übernimmt, macht seine sämtlichen Aktivitäten für die Öffentlichkeit sichtbar. Do Thi Duc prüfte die im Internet frei verfügbare API und konnte darüber die Daten von exakt 207.984.218 Transaktionen herunterladen. Dabei stieß sie auf ein alarmierendes Ausmaß an Details.

Cannabis-Verkäufer und kalifornische Ehepaare

In ihrem Blogbeitrag beschreibt die Forscherin anhand von fünf Beispielen, welche Informationen die Nutzer von Venmo über die Standard-Einstellungen und die API preisgeben. Unter anderem stieß Do Thi Duc auf einen Cannabis-Verkäufer, der im Jahr 2017 stolze 920 Zahlungen über Venmo erhielt. Ein weiterer Eintrag führte sie zu einem Ehepaar aus Kalifornien - deren Transaktionen erlaubten detaillierte Rückschlüsse über ihr Privatleben, unter anderem zu ihrem Hund, ihrem Auto, ihrem Einkaufsverhalten und einem Kredit, den sie derzeit abbezahlen.

Security-Tipps für Spieler - Accounts und System schützen

Um die Daten aus der API zu ziehen, benötigt man übrigens keinerlei IT-Kentnisse. Ein Klick auf den entsprechenden Link offenbart Namen, Profilbilder, Nachrichten, Transaktionsdaten und weitere Details von allen Nutzern, die die Standard-Einstellungen der App beibehalten haben. Genaue Informationen darüber, wie Venmos API funktioniert, hat der Software-Ingenieur Dan Gorelick in seinem Blog zusammengetragen.

Venmo verweist auf Nutzer-Einstellungen

Venmo selbst hat gegenüber dem Guardian mittlerweile eine Stellungnahme zu Do Thi Ducs Report abgegeben. Eine Sprecherin des Konzerns erklärte, die »Sicherheit und Privatsphäre« der Venmo-Nutzer sei »eine unserer höchsten Prioritäten«. Darüber hinaus gab sie zu Protokoll: »Unsere Nutzer vertrauen uns ihr Geld und ihre persönlichen Informationen an, und wir nehmen diese Verantwortung und die anwendbaren Gesetze zur Privatsphäre sehr ernst. Wie bei unseren übrigen sozialen Netzwerken können Venmo-Nutzer entscheiden, was sie im öffentlichen Venmo-Feed teilen wollen.«

Dumm nur, dass viele Nutzer offenbar gar nicht wissen, was sie mit den Standard-Einstellungen der App akzeptieren. Venmo wäre damit ein klassischer Fall der von Verbraucherschutzorganisationen monierten Dark-Pattern-Praxis.

GameStar Plus: Datenschutz in Spielen - Ein Datenschatz zum Zugreifen

20 Jahre GameStar: Retro-PC - Wir bauen einen High-End-Spiele-PC von 1997 zusammen. 16:58 20 Jahre GameStar: Retro-PC - Wir bauen einen High-End-Spiele-PC von 1997 zusammen.


Kommentare(4)

Nur angemeldete Benutzer können kommentieren und bewerten.

Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen oder schließen