Obwohl die zu Paypal gehörende Bezahl-App Venmo bislang nur in den USA verfügbar ist, sorgt sie derzeit weltweit für Aufregung. Denn wie die Sicherheitsforscherin Hang Do Thi Duc laut TheRegister herausgefunden hat, sind sämtliche Details von über die App getätigten Transaktionen über die API von Venmo allgemein zugänglich.
Denn wer die Standard-Einstellungen der App übernimmt, macht seine sämtlichen Aktivitäten für die Öffentlichkeit sichtbar. Do Thi Duc prüfte die im Internet frei verfügbare API und konnte darüber die Daten von exakt 207.984.218 Transaktionen herunterladen. Dabei stieß sie auf ein alarmierendes Ausmaß an Details.
Cannabis-Verkäufer und kalifornische Ehepaare
In ihrem Blogbeitrag beschreibt die Forscherin anhand von fünf Beispielen, welche Informationen die Nutzer von Venmo über die Standard-Einstellungen und die API preisgeben. Unter anderem stieß Do Thi Duc auf einen Cannabis-Verkäufer, der im Jahr 2017 stolze 920 Zahlungen über Venmo erhielt. Ein weiterer Eintrag führte sie zu einem Ehepaar aus Kalifornien - deren Transaktionen erlaubten detaillierte Rückschlüsse über ihr Privatleben, unter anderem zu ihrem Hund, ihrem Auto, ihrem Einkaufsverhalten und einem Kredit, den sie derzeit abbezahlen.
Security-Tipps für Spieler - Accounts und System schützen
Um die Daten aus der API zu ziehen, benötigt man übrigens keinerlei IT-Kentnisse. Ein Klick auf den entsprechenden Link offenbart Namen, Profilbilder, Nachrichten, Transaktionsdaten und weitere Details von allen Nutzern, die die Standard-Einstellungen der App beibehalten haben. Genaue Informationen darüber, wie Venmos API funktioniert, hat der Software-Ingenieur Dan Gorelick in seinem Blog zusammengetragen.
Venmo verweist auf Nutzer-Einstellungen
Venmo selbst hat gegenüber dem Guardian mittlerweile eine Stellungnahme zu Do Thi Ducs Report abgegeben. Eine Sprecherin des Konzerns erklärte, die »Sicherheit und Privatsphäre« der Venmo-Nutzer sei »eine unserer höchsten Prioritäten«. Darüber hinaus gab sie zu Protokoll: »Unsere Nutzer vertrauen uns ihr Geld und ihre persönlichen Informationen an, und wir nehmen diese Verantwortung und die anwendbaren Gesetze zur Privatsphäre sehr ernst. Wie bei unseren übrigen sozialen Netzwerken können Venmo-Nutzer entscheiden, was sie im öffentlichen Venmo-Feed teilen wollen.«
Dumm nur, dass viele Nutzer offenbar gar nicht wissen, was sie mit den Standard-Einstellungen der App akzeptieren. Venmo wäre damit ein klassischer Fall der von Verbraucherschutzorganisationen monierten Dark-Pattern-Praxis.
GameStar Plus: Datenschutz in Spielen - Ein Datenschatz zum Zugreifen
16:58
20 Jahre GameStar: Retro-PC - Wir bauen einen High-End-Spiele-PC von 1997 zusammen.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.