{"id":206821,"date":"2018-07-19T10:00:11","date_gmt":"2018-07-19T08:00:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=206821"},"modified":"2019-03-10T09:21:23","modified_gmt":"2019-03-10T08:21:23","slug":"paypal-app-venmo-leakt-daten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/07\/19\/paypal-app-venmo-leakt-daten\/","title":{"rendered":"PayPal-App Venmo leakt Daten"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>PayPal-Zahlungen, die \u00fcber die PayPal-Tochter Venmo bzw. dessen Apps abgewickelt wurden, standen f\u00fcr Dritte ungesch\u00fctzt im Internet. Das ist die kurze Formel, auf die sich der neueste Datenskandal bringen l\u00e4sst.<\/p>\n<p><!--more--><\/p>\n<h2>Die PayPal-Tochter Venomo<\/h2>\n<p>Zahlungen \u00fcber PayPal kann man direkt im Browser \u00fcber die PayPal-Webseite abwickeln. Manche Leute m\u00f6chten diesen Vorgang aber komfortabler, zum Beispiel per App, handhaben.<\/p>\n<p><img decoding=\"async\" title=\"Venmo\" src=\"https:\/\/i.imgur.com\/AQUlwzr.jpg\" alt=\"Venmo\" \/><\/p>\n<p>Der Anbieter Venmo (PayPal-Tochter) macht dies m\u00f6glich. Auf <a href=\"https:\/\/venmo.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">seiner Webseite<\/a> wirbt er mit 'Share payment' und bietet gleich eine App f\u00fcr Android und iOS an, um Zahlungen mit PayPal abzuwickeln. Eine Anmeldung mit Facebook ist ebenfalls integriert, kommt den digitale Natives entgegen. Und wenn man dann noch so nette Sachen wie Chat-Nachrichten samt Emojis mit der App verschicken kann, gibt es kein halten mehr. Dass da ein weiterer Dritter samt App seine Finger im Spiel hat und alle Transaktionen mitbekommt, interessiert die Leute offenbar weniger. Bisher ist dieses Angebot m.W. (gl\u00fccklicherweise) nur auf die USA begrenzt.<\/p>\n<h2>Die Venmo-App leakt Zahlungsdaten<\/h2>\n<p>Die Berliner Sicherheitsforscherin Hang Do Thi Duc hat sich nun Venmo und deren Apps vorgenommen. Denn Venmo bietet eine \u00f6ffentliche API, \u00fcber die sich Daten austauschen lassen. Und was sie herausgefunden hat, l\u00e4sst einen sprachlos zur\u00fcck. \u00dcber diese API konnte die Sicherheitsforscherin die Daten von 200 Millionen Transaktionen auslesen. Damit wurden die Leute, die \u00fcber Venmo Zahlungen abwickelten, quasi gl\u00e4sern. Hang Do Thi Duc hat das Ganze in ihrem Blog <a href=\"https:\/\/22-8miles.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">22.8miles<\/a> im Artikel <a href=\"https:\/\/22-8miles.com\/public-by-default\/\" target=\"_blank\" rel=\"noopener noreferrer\">Public By Default<\/a> (Englisch) ver\u00f6ffentlicht.<\/p>\n<p><img decoding=\"async\" title=\"publicbydefault.fyi\" src=\"https:\/\/i.imgur.com\/gfPPyBh.jpg\" alt=\"publicbydefault.fyi\" \/><\/p>\n<h2>Kostproben gef\u00e4llig?<\/h2>\n<p>Auf der Webseite <a href=\"https:\/\/publicbydefault.fyi\/\" target=\"_blank\" rel=\"noopener noreferrer\">publicbydefault.fyi<\/a> (siehe Screenshot), die die Sicherheitsforscherin eingerichtet hat, l\u00e4sst sich abrufen, was da so an Interessantem zu erfahren ist.<\/p>\n<ul>\n<li>Da gibt es einen Cannabis-Dealer, der sich (auch) \u00fcber PayPal bezahlen l\u00e4sst \u2013 ist in Kalifornien legal. Mit den Facebook-IDs in den Venmo-Transaktionsdaten l\u00e4sst sich sofort jeder Kunde, der diese Zahlungsart nutzt, identifizieren. Du kannst sogar rausfinden, wie h\u00e4ufig jemand Cannabis pro Jahr oder Monat bestellt.<\/li>\n<li>\u00dcber die Chat-Funktion scheinen sich in Liebesdramen involvierte Personen auszutauschen. Deren Lekt\u00fcre d\u00fcrfte jede Soap Opera in den Schatten stellen. Und besonders cool: Sind die Facebook-IDs dabei, wei\u00df man, wer im realen Leben dahinter steht \u2013 also nix Telenova und Schauspieler.<\/li>\n<li>Da gibt es einen 'Essenslieferanten' (mobiles Imbiss-Wagen), dessen Kundschaft \u00fcber Venmo-Transaktionen transparent wird. Studenten der University of California Santa Barbara bekommen hier ihre Elotes, Mangos, Raspados, Tostilocos und Chicharrones. Kundin Cecile hat im Jahr 2017 ganz 34 Mal Essen gekauft \u2013 so fast jede Woche (au\u00dfer im Sommer) und immer zur gleichen Zeit.<\/li>\n<\/ul>\n<p>\u00dcber 1 Million Klarnamen und \u00fcber 1 Million Facebook-IDs erm\u00f6glichen rasch herauszufinden, wer im realen Leben hinter den Daten steckt. Nachdem der britische The Guardian \u00fcber den <a href=\"https:\/\/www.theguardian.com\/world\/2018\/jul\/17\/venmo-payments-app-default-privacy-settings-public-information\" target=\"_blank\" rel=\"noopener noreferrer\">Fall berichtete<\/a> hat Venmo zumindest die API-Dokumentation aus dem Internet entfernt. Der Fall zeigt wieder einmal, wie wackelig in Bezug auf Sicherheit das Ganze App-Geschehen geworden ist. Apps sind eine Black-Box, und man sollten denen keine Finanzdaten anvertrauen. Wer sich f\u00fcr das Thema interessiert, findet in den oben verlinkten englischsprachigen Artikeln, sowie <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/PayPal-Bezahl-App-Venmo-Transaktionsdaten-standardmaessig-ins-Netz-geblasen-4113595.html\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> (Deutsch) einige erg\u00e4nzende Informationen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>PayPal-Zahlungen, die \u00fcber die PayPal-Tochter Venmo bzw. dessen Apps abgewickelt wurden, standen f\u00fcr Dritte ungesch\u00fctzt im Internet. Das ist die kurze Formel, auf die sich der neueste Datenskandal bringen l\u00e4sst.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,1440,426],"tags":[5871],"class_list":["post-206821","post","type-post","status-publish","format-standard","hentry","category-android","category-app","category-sicherheit","tag-datenleak"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/206821","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=206821"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/206821\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=206821"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=206821"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=206821"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}