PayPal-Zahlungen, die über die PayPal-Tochter Venmo bzw. dessen Apps abgewickelt wurden, standen für Dritte ungeschützt im Internet. Das ist die kurze Formel, auf die sich der neueste Datenskandal bringen lässt.
Anzeige
Die PayPal-Tochter Venomo
Zahlungen über PayPal kann man direkt im Browser über die PayPal-Webseite abwickeln. Manche Leute möchten diesen Vorgang aber komfortabler, zum Beispiel per App, handhaben.
Der Anbieter Venmo (PayPal-Tochter) macht dies möglich. Auf seiner Webseite wirbt er mit 'Share payment' und bietet gleich eine App für Android und iOS an, um Zahlungen mit PayPal abzuwickeln. Eine Anmeldung mit Facebook ist ebenfalls integriert, kommt den digitale Natives entgegen. Und wenn man dann noch so nette Sachen wie Chat-Nachrichten samt Emojis mit der App verschicken kann, gibt es kein halten mehr. Dass da ein weiterer Dritter samt App seine Finger im Spiel hat und alle Transaktionen mitbekommt, interessiert die Leute offenbar weniger. Bisher ist dieses Angebot m.W. (glücklicherweise) nur auf die USA begrenzt.
Die Venmo-App leakt Zahlungsdaten
Die Berliner Sicherheitsforscherin Hang Do Thi Duc hat sich nun Venmo und deren Apps vorgenommen. Denn Venmo bietet eine öffentliche API, über die sich Daten austauschen lassen. Und was sie herausgefunden hat, lässt einen sprachlos zurück. Über diese API konnte die Sicherheitsforscherin die Daten von 200 Millionen Transaktionen auslesen. Damit wurden die Leute, die über Venmo Zahlungen abwickelten, quasi gläsern. Hang Do Thi Duc hat das Ganze in ihrem Blog 22.8miles im Artikel Public By Default (Englisch) veröffentlicht.
Anzeige
Kostproben gefällig?
Auf der Webseite publicbydefault.fyi (siehe Screenshot), die die Sicherheitsforscherin eingerichtet hat, lässt sich abrufen, was da so an Interessantem zu erfahren ist.
- Da gibt es einen Cannabis-Dealer, der sich (auch) über PayPal bezahlen lässt – ist in Kalifornien legal. Mit den Facebook-IDs in den Venmo-Transaktionsdaten lässt sich sofort jeder Kunde, der diese Zahlungsart nutzt, identifizieren. Du kannst sogar rausfinden, wie häufig jemand Cannabis pro Jahr oder Monat bestellt.
- Über die Chat-Funktion scheinen sich in Liebesdramen involvierte Personen auszutauschen. Deren Lektüre dürfte jede Soap Opera in den Schatten stellen. Und besonders cool: Sind die Facebook-IDs dabei, weiß man, wer im realen Leben dahinter steht – also nix Telenova und Schauspieler.
- Da gibt es einen 'Essenslieferanten' (mobiles Imbiss-Wagen), dessen Kundschaft über Venmo-Transaktionen transparent wird. Studenten der University of California Santa Barbara bekommen hier ihre Elotes, Mangos, Raspados, Tostilocos und Chicharrones. Kundin Cecile hat im Jahr 2017 ganz 34 Mal Essen gekauft – so fast jede Woche (außer im Sommer) und immer zur gleichen Zeit.
Über 1 Million Klarnamen und über 1 Million Facebook-IDs ermöglichen rasch herauszufinden, wer im realen Leben hinter den Daten steckt. Nachdem der britische The Guardian über den Fall berichtete hat Venmo zumindest die API-Dokumentation aus dem Internet entfernt. Der Fall zeigt wieder einmal, wie wackelig in Bezug auf Sicherheit das Ganze App-Geschehen geworden ist. Apps sind eine Black-Box, und man sollten denen keine Finanzdaten anvertrauen. Wer sich für das Thema interessiert, findet in den oben verlinkten englischsprachigen Artikeln, sowie hier (Deutsch) einige ergänzende Informationen.
Anzeige
What a fuck, jetzt weiß jeder wo ich mein Cannabis bestelle, da müsste man doch nun herausbekommen wo Microsoft so sein Dope her bekommt, was die immer rauchen oder sich durch die Nase ziehen.
Wer solche Dienste benutzt, selber schuld.
Habe da mittlerweile kein Mitleid mehr mit den naiven Tech-Kiddies von heute.
Die Gefahr ist nur, dass son Mist irgendwann Standard wird und dass das Bargeld ganz verschwindet und man von solchen Bezahldiensten vollkommen abhängig wird, dann haben wir den Salat ;-)