Das PayPal-Tochterunternehmen Venmo erlaubt über eine API den Zugriff auf vertrauliche Kundeninformationen, berichtet „golem.de“. Aufgrund dieser Datenschutzlücke konnte ein Informatikstudent Daten über sieben Millionen Transaktionen von den Nutzern der Bezahl-App zusammenstellen und veröffentlichten.
Laut Informationen von Techcrunch hat der Informatikstudent Dan Salmon Daten von über sieben Millionen Venmo-Transaktionen heruntergeladen und auf Github veröffentlicht, so „golem.de“. Zurzeit habe Venmo 40 Millionen Nutzer. Deren Transaktionen können online abgerufen werden und sind auch von Dritten einzusehen.
Bereits im letzten Jahr habe die Programmiererin und Privatsphäreforscherin Hang Do Thi Duc eine Sicherheitslücke bei dem PayPal-Tochterunternehmen gefunden und mehr als 207 Millionen Datensätze von Venmo herunterkopiert. Auf Basis der vertraulichen Kundeninformationen, welche sie im Netz gesammelt habe, habe sie lustige Geschichten aus dem Leben der Venmo-Kunden erzählt und der breiten Öffentlichkeit präsentiert. Im Rahmen des Projekts „Public by Default“ habe Do Thi Duc die Geschichten aus der Privatsphäre der Nutzer anonymisiert veröffentlicht, mit dem Ziel, auf die Sicherheitsprobleme des Unternehmens aufmerksam zu machen. Im Anschluss habe sie zudem den Nutzern erklärt, wie sie ihre Einstellungen ändern und das Problem beheben können.
Obwohl die Bezahl-App mehrmals in die Kritik geraten ist, haben sich die Sicherheitspraktiken des Unternehmens nicht viel geändert. Über die öffentliche API können persönliche Daten wie Benutzernamen, Namen und Profilbilder sowie detaillierte Transaktionsinformationen jederzeit abgerufen werden. Auch wenn die Abfragehäufigkeit auf 40 pro Minute reduziert wurde, können Wissenschaftler Informationen über bis zu 57.600 Transaktionen am Tag sammeln.
Quelle: golem.de
Weiterführende Links: