| 18 июля 2018 г. — 6:23 утра по тихоокеанскому времени
Исследователь в области безопасности, проанализировавший более 200 миллионов транзакций Venmo, заявил, что благодаря уязвимости в системе конфиденциальности приложения она смогла узнать «тревожное количество» информации о частной жизни пользователей.
Любой желающий может отслеживать историю покупок пользователя Venmo и составлять подробный профиль, включая информацию об их сделках с наркотиками, пищевых привычках и ссорах, поскольку платежное приложение не имеет настроек конфиденциальности по умолчанию…
The Guardian сообщает, что исследование провела берлинский исследователь Ханг До Тхи Дык.
Получив доступ к данным через общедоступный программный интерфейс приложения, До Тхи Дык смогла увидеть имена всех пользователей, которые не изменили свои настройки на «приватные», а также даты каждой транзакции и сообщение, отправленное с платежом. Это позволило ей изучить жизни ничего не подозревающих пользователей Venmo и узнать «тревожное количество информации о них».
По умолчанию транзакции при регистрации пользователя в приложении имеют статус «публичные», что означает, что их может увидеть любой в Интернете. Пользователи могут изменить это на «приватные», зайдя в настройки приложения, но при регистрации эта опция не выделена должным образом.
Исследователь создала веб-сайт для освещения проблемы, опубликовав пять показательных историй (с удаленными именами). Среди них — транзакции дилера каннабиса и пары, ведущей, судя по всему, жизнь, достойную мыльной оперы.
«Пожалуйста, оставьте меня в покое», — сказала женщина, которую До Тхи Дык называет Сюзанной.
«Я просто люблю тебя. Мне жаль, что ты этого не понимаешь», — отвечает мужчина.
В более позднем обмене репликами он говорит: «Совершенно очевидно, что ты меня использовала все это время. Мне потребовалось некоторое время, чтобы это понять». На следующее утро он раскаивается: «Прости. Я беру обратно все, что сказал».
Venmo заявила, что пользователи могут выбирать, чем делиться, что технически верно, но очевидно, что многие пользователи не осознают, что их транзакции и сопровождающие их сообщения по умолчанию являются публичными.
Пару лет назад другая уязвимость Venmo позволяла любому использовать Siri на заблокированном iPhone для опустошения вашего счета.
Смотрите 9to5Mac на YouTube для получения большего количества новостей об Apple: