Datenbank von öffentlichen Venmo-Transaktionen auf Github
Bei Venmo ist es nach wie vor möglich, Transaktionsdaten massenhaft abzugreifen. Betroffen sind Nutzer, die die App mit Default-Einstellungen betreiben.
Der "Freunde"-Feed ist im Screenshot auf der Webseite von Venmo ausgewählt. Die Transaktionen werden standardmäßig aber als öffentlich markiert und landen dann auch im Feed links daneben.
(Bild: Venmo)
Der Informatikstudent Dan Salmon hat über 7 Millionen öffentliche Transaktionen von Nutzern der Bezahl-App Venmo in einer Datenbank zusammengestellt und auf GitHub veröffentlicht. Möglich ist das nicht aufgrund eines Datenlecks, sondern weil Venmo sich als soziales Netzwerk versteht und die Transaktionen der Nutzer in Newsfeeds zusammenfasst. Der öffentliche Feed lässt sich über eine API auch durch Dritte abfragen.
Bezahlvorgänge, die mit der App des zu PayPal gehörenden Anbieters getätigt werden, werden innerhalb der App standardmäßig für jedermann sichtbar in einen Newsfeed übertragen. Eine Entwickler-API sendet diese Transaktionsdaten ungeschützt ins Netz, wo sie jeder abfragen kann. Nutzer können in den Einstellungen der App zwar festlegen, dass Transaktionen privat bleiben sollen – in der Grundeinstellung sind sie aber erstmal öffentlich. Das hat schon früher die Datenschützer auf den Plan gerufen. Geändert hat das aber offenbar nichts.
Salmon hatte die Daten ursprünglich für ein universitäres Projekt gesammelt. Zur Veröffentlichung des Datensatzes entschied er sich nun, um auf die Problematik aufmerksam zu machen. Er fürchte, ein bloßer Hinweis ohne gleichzeitige Veröffentlichung des Datensatzes sei "zu leicht unter den Teppich" zu kehren, sagte er gegenüber heise online. Im Read-me der Veröffentlichung empfiehlt er Nutzern dringend, die Einstellungen der App zu ändern.
Publicity by design
Ob sich Venmo davon überzeugen lässt, die Standardeinstellungen anzupassen, scheint zweifelhaft: Das Unternehmen will kein reiner Bezahldienstleister, sondern ein soziales Netzwerk sein. Man könne Freunden und Familie Geld schicken, Restaurantrechnungen teilen, Geburtstagsgeschenke zukommen lassen oder "einfach nur Hallo sagen", schreibt der Anbieter auf seiner Website. Netzwerkeffekte funktionieren natürlich am besten, wenn möglichst viel, möglichst vielen zugänglich ist. Deshalb kann man zwar Überweisungen als "Privat" oder als nur für "Freunde" einsehbar markieren, aber "öffentlich" ist eben die Standardeinstellung der App.
So veröffentlichte Transaktiondaten sind nicht nur für alle App-Nutzer einsehbar, sondern lassen sich über ein API auch vollautomatisch und ohne jede Zugangsbeschränkungen abrufen. Genutzt wurde das früher schon, um mit kreativen Projekten zu zeigen, was sich so alles in den Daten finden lässt. Wofür das API eigentlich existiert und wer es nutzen soll oder darf ist unklar. Eine Dokumentation dazu gibt es nicht. Auf eine Anfrage von heise online hat Venmo noch nicht geantwortet.
Das Unternehmen sieht die Praxis offenbar unkritisch: "Wie in anderen sozialen Netzwerken, können Venmo-Nutzer selbst bestimmen, was sie im öffentlichen Venmo-Feed teilen möchten", ließ die Firma verlauten, als der britische Guardian vor knapp einem Jahr über die Problematik berichtete. Seitdem hat Venmo lediglich die Abfragehäufigkeit etwas limitiert – auf immer noch reichliche 40 Abfragen pro Minute. (syt)
