我挣到了数百万文莫的钱。你的数据有风险

Like many people, I use Venmo to pay for stuff: to split the check at dinner, to send my roommate my portion of the utility bills each month, to reimburse friends for concert tickets. It's a useful app for 收发款项, regardless of who you bank with.

有线意见

关于

DanSalmon毕业于明尼苏达州立大学,专攻信息安全。

去年夏天,我通过文默支付了部分电费后,我开始怀疑应用程序中是否存在漏洞。当时我是一名研究信息安全的研究生,我想我可以赚些外快。VeMo是由PayPal拥有的,它拥有一个公开的Bug赏金程序,即它支付黑客报告其产品中的安全漏洞。

通过笔记本电脑代理手机流量后,我在浏览应用程序时观看了网络流量。我注意到,当您打开Venmo主页时,会显示一个陌生人正在进行的事务的实时提要。我可以看到一个公共API端点正在返回此提要的数据,这意味着任何人都可以发出GET请求(比如简单的页面加载),以查看世界各地任何人在应用程序上进行的最新20个事务。令我惊讶的是,这个端点甚至可以在应用程序外部访问,不需要授权。经过一些试验,我发现我可以每分钟对每个IP地址的事务数据进行两次请求。

我编写了一个快速的20行python脚本,并开始从两个不同的ips中抓取api。即使有一个速率限制(限制了单个IP的请求速度),我每天也可以下载115000个事务。每隔几周,如果我有空的话,我会重新开始抓取,清理数据并将其输入MongoDB数据库。

最初,我对数据没有具体的计划;在参加了大量涉及数据分析和可视化的课程之后,我认为弄清楚哪些emoji在事务说明中最常用可能会很有趣。(奇怪的是,这是)。但上个月,我重新审视了这些数据,看看还能从中收集到什么。

当我仔细研究这一宝藏时,我开始担心我已经能够如此容易地收集到如此大量的人们的金融活动,即使这些活动大多是无害的,比如分割披萨的成本。

当然,大多数使用venmo的人都知道,他们的事务通常用简短的描述或一系列emoji表示,任何搜索他们用户名的人都可以看到。毕竟,Venmo&x27的卖点之一是,该应用程序使发送和接收资金变得容易和社交。但是公共数据并不像你想象的那样无害。

我问自己:“如果我是一个攻击者,并且我有一个特定的目标,我可以从这些数据中了解到关于那个人的什么信息?”它对我有用吗?“答案是肯定的,这里有大量有用的信息可用于恶意目的。

首先,我可以看到你用哪个应用程序在Venmo上做生意。尽管有一些第三方与splitwise等网站的集成,但在大多数情况下,该应用程序被列为“venmo for android”或“venmo for iphone”。这些信息对许多攻击都很有用。例如,如果黑客知道你在使用iPhone,他们可能会试图欺骗你的苹果ID凭证。

由于文莫便利了货币的转移,也有可能货币被兑换成非合法商品。快速搜索一些毒品名称和俚语术语会发现成百上千的交易。尽管其中很多都是开玩笑的,但我的朋友们会这样做,如果这些描述是准确的,攻击者可能会将这些信息用于敲诈。

但使用Venmo数据进行网络攻击最有可能的是Spearphishing,通过应用程序提供的特定信息量将使网络攻击非常有说服力。攻击者可以很容易地找到目标用户最常与之交互的用户列表,以及该用户的常见消费习惯。例如,如果安迪经常与香农互动支付音乐会门票,攻击者可以为安迪制作一个高度可信的网络钓鱼消息,看起来香农正在与他共享音乐会的信息,他应该登录到他的票务管理员帐户来查看。

不出所料,我并不是第一个公开使用Venmo数据进行黑客攻击的人。事实上,在我之前检查过venmo&x27;的API的几个工程师能够以比我更快的速度转储更多的数据,这表明venmo进行了一些基础结构更改。

尽管做了一些小的改进,但Venmo&X27;的公共API端点仍然为坏人提供了一种奖励。好消息?您可以将您的隐私设置更改为“私人”,并将所有过去的交易标记为“私人”,从而保护您自己。这取决于用户决定什么是更值钱的:他们的隐私,或者他们的数字社交能力。正如最近令人痛心的事情,如果你不为产品买单,你就是产品。

《连线意见》发表了外部撰稿人撰写的文章,代表了广泛的观点。阅读更多意见。在opinion@wired.com上提交一份操作报告。


本文来自投稿,不代表泡面小镇立场,如若转载,请注明出处:www.pmtown.com/archives/195325.html

QR code