次回お支払いの際には、ヴェンモ, 注意してください: ほぼ誰でも追跡できます。
人気のモバイル決済アプリは、実名、支払い時に送信されたコメント、取引日、取引の受取人などのユーザーの個人データをデフォルトで一般公開している。この情報は企業のパブリック API を通じて公開されており、プライバシー設定を「パブリック」から「プライベート」に調整することで非表示にすることができます。
セキュリティ研究者ハン・ドゥ・ティ・ドック最近、パブリック API を調査することで、この「驚くべき量」の情報が漏洩していることを発見しました。この問題が発生する理由は、Venmo アプリのデフォルト設定がすべてのユーザーに対して「パブリック」に設定されているためであると研究者は示唆しています。
Do Thi Duc は、パブリック API を通じて利用できるトランザクション データを使用して、2017 年にアプリ上で行われたすべてのパブリック トランザクションである 207,984,218 件の Venmo トランザクションをダウンロードし、分析しました。彼女は、という適切な名前のプロジェクトで発見を詳しく説明しました。デフォルトで公開。
関連項目:
公開されている Venmo トランザクション データからどれだけ詳細を引き出すことができるかを示すために、Do Thi Duc の Public By Default プロジェクトは 5 つの特定の Venmo アカウントに焦点を当てています。彼女がその身元を非公開にしている5つのアカウントには、カリフォルニアの大麻販売者、フードトラックの販売者、既婚の男女、ジャンクフード愛好家、そして喧嘩しているカップルが含まれている。
マッシュ可能な光の速度
Do Thi Duc が Venmo が共有している取引データから引き出すことができる情報の量は、かなり驚くべきものです。たとえば、彼女はフード トラックのベンダーの一番の顧客を追跡し、いつ行くのか、何を買うのかを正確に知ることができました。夫婦の場合、ド・ティ・ドゥクさんは、どこで買い物をするかだけでなく、誰がどの請求書の責任者であるかも知ることができた。
Do Thi Duc 氏は報告書の中で、これらの公的取引の背後にある人々について、彼らが使用していたプロフィール写真に基づいてさらに詳しい情報を入手することができました。 Venmo ユーザーが自分の Facebook アカウントをリンクして、Venmo アバターと同じプロフィール写真を使用できるようにした場合、Venmo のパブリック API は残りのトランザクションとともに Facebook 写真の URL を共有します。このプロフィール写真の URL にはユーザーの Facebook ID が含まれており、ユーザーはその人の Facebook プロフィールに直接誘導されます。
Venmo がパブリック API の形式でこの種の情報に簡単にアクセスできるようにしたという事実には問題があります。この情報は、正しい人、または間違った人の手に渡れば、個人情報の盗難の危険にさらされます。それだけでなく、ストーカーや家庭内暴力者などによるこの情報へのアクセスは潜在的に危険です。
Venmoは声明の中で、「Venmoユーザーとその情報の安全とプライバシーは当社の最優先事項の1つ」である一方、この情報の保護に関しては、デフォルトのVenmoを変更するのは各Venmoユーザーの責任であるとすぐに指摘した。設定して非公開にします。
まさにそうすることをお勧めします。
![ハンズオン: 世界で最も静かな (強力な) コンピューター [写真]](https://helios-i.mashable.com/imagery/archives/057exLsgeybE8X6xMzYsYIi/hero-image.fill.size_1200x675.v1647019598.jpg)