Принадлежащий PayPal сервис Venmo раскрывает данные своих клиентов
API сервиса Venmo позволяет любому желающему просмотреть подробности транзакций пользователей.
Принадлежащий PayPal цифровой кошелек Venmo передает через свой публичный API множество конфиденциальных данных, в частности информацию о транзакциях пользователей, выяснила исследователь безопасности из Германии Хан До Ти Дук (Hằng Đỗ Thị Đức).
Согласно опубликованному докладу, если пользователи принимают настройки по умолчанию для своей учетной записи, данные транзакции становятся доступны через API-интерфейс сервиса, позволяя «невероятно легко понять, что человек покупает, кому он отправляет деньги, и с какой целью».
Исследователю удалось загрузить данные более 200 млн транзакций, обработанных в 2017 году. Информация содержит настоящие имена отправителя и получателя, их фотографии, точное время проведения транзакции, назначение платежа и другие конфиденциальные данные.
«Наши пользователи доверяют нам свои деньги и персональные данные. Мы очень серьезно относимся к данной задаче и следуем законам о конфиденциальности информации. Как и в других социальных сетях, пользователи Venmo могут выбирать, чем именно они хотят поделиться на публичном канале сервиса», — сообщили представители Venmo изданию The Guardian.