PayPal-Bezahl-App Venmo: Transaktionsdaten standardmäßig ins Netz geblasen
Eine Bezahl-App mit 7 Millionen Nutzern im Monat gibt in der Standardeinstellung sämtliche Informationen über Nutzer und Zahlungen öffentlich im Web preis.
Gras, Pizza, Miete – Venmo ist die Bezahl-App für die Generation YOLO.
(Bild: Hang Do Thi Duc / heise online)
Mobiles Bezahlen per App geht viel schneller als übliche Banküberweisungen und ist obendrein auch noch cooler, wenn man dem Empfänger des Geldes auch noch Chat-Nachrichten mit Emojis schicken kann. Der Fortschritt kann aber auch sehr dunkle Seiten haben, wie die Berliner Sicherheitsforscherin Hang Do Thi Duc gerade an Hand der zu PayPal gehörigen App Venmo anschaulich gezeigt hat. Venmo ist zwar nur in den USA benutzbar, was ihn allerdings nicht davon abhielt, über 200 Millionen Venmo-Transaktionen auszulesen. Denn Venmo hat eine öffentliche API und jeder auf der ganzen Welt kann die zum Teil höchst persönlichen Daten sehen.
Mobile Payment im Glashaus
Venmo ist ein Alptraum für jeden Datenschützer: In den Werkseinstellungen der App sind alle Transaktionen – und die dazugehörigen Nachrichten an den Empfänger – öffentlich. Ebenso kann jeder den Klarnamen, das Profilbild und die Facebook-ID der Transaktionspartner sehen.
(Bild: Fabian A. Scherschel / heise online)
Hang Do Thi Duc hat so alle 207.984.218 Transaktionen zusammengesammelt, die 18.429.464 Venmo-Nutzer im Jahr 2017 getätigt haben. Diese 18 Millionen Nutzer sind der Teil der Venmo-Gemeinde, welche die Privatsphäre-Einstellungen der App nicht geändert haben und so private Daten von sich über die API ins Netz blasen. Die überwiegende Mehrzahl dieser Nutzer ist sich dessen wohl nicht bewusst.
Cannabis-Verkäufer, Ehepaare, Beziehungs-Dramen
Wie schlimm die Situation der Nutzer ist zeigt eine sehr anschauliche Webseite, welche die Sicherheitsforscherin extra für ihre Untersuchung gebaut hat. Auf der einen Seite listet sie hier auf, welchen absoluten Datenreichtum sie aus dem Server-Interface der PayPal-Tochter herauskitzeln konnte. Auf der anderen Seite hat sie sich ein paar anschauliche Beispiele von verschiedenen Anwendern herausgepickt.
So erzählt sie die Geschichte von zwei Liebespaaren: Die einen lernen sich in (öffentlichen) Chat-Nachrichten kennen, die sich an Venmos Transaktionen anhängen lassen, und diskutieren ihre Lebenssituationen. Die anderen trennen sich (ebenfalls öffentlich) und schmeißen mit gegenseitigen Beleidigungen um sich. In einem anderen Beispiel zeigt sie, wie die Transaktionshistorie eines Nutzers detailliert dessen Verkäufe von Cannabis belegt – immerhin ist dieser aus Kalifornien und die Geschäfte sind somit legal. Erstaunlich ist auch die Geschichte einer jungen Venmo-Nutzerin, die in acht Monaten 965 Mal dem Genuss von Cocktails, Fast Food und Süßigkeiten gefrönt hat. Wer Venmo verwendet, sollte unbedingt seine Privatsphäre-Einstellungen in der App überprüfen. Wie das geht, beschreibt die Sicherheitsforscherin ebenfalls sehr anschaulich.
Venmo reagiert
Als Reaktion auf einen Artikel der britischen Zeitung The Guardian zur API von Venmo hat die Firma mittlerweile die Dokumentation des Server-Interfaces aus dem Netz entfernt. Die API selbst ist noch funktionsfähig, obwohl es Hinweise darauf gibt, dass Venmo dessen Funktionen bereits ebenfalls beschnitten hat. Gegenüber dem Guardian sagte eine Venmo-Sprecherin, dass man sich bewusst sei, mit dem Geld und den persönlichen Informationen der eigenen Nutzer betraut zu sein und diese Verantwortung und geltende Gesetze sehr Ernst nehme. "Wie bei jedem anderen sozialen Netzwerk können Venmo-Nutzer selbst bestimmen, was sie im öffentlichen Venmo-Feed teilen möchten", so die Sprecherin.
Angesichts der Mitteilungsfreudigkeit dieses Feeds und der Tatsache, dass die meisten Nutzer wohl gar nicht wissen, dass die API existiert, kann die Firma wohl von Glück reden, dass die App nur in den USA angeboten wird. Mit europäischen Nutzern stünde Venmo wohl spätestens seit der DSGVO viel Ärger ins Haus. (fab)
