Список друзей Venmo разоблачил консультанта по безопасности США - и это может случиться с вами
11 июля 2025 г.
Кто ваши друзья много говорят о вас. И в нашем вечно более цифровом мире публичные знания о том, кто они являются серьезным риском безопасности для вас. Этот риск снова был освещен сНедавний скандал консультанта по национальной безопасности США Майкла Уолца разоблаченный список друзей VenmoПолем Venmo, популярное американское приложение для мобильных платежей, принадлежащее PayPal, позволяет пользователю синхронизировать контакты со своих телефонов непосредственно в приложение как «друзья». Затем эти друзья заполняют «Список друзей» пользователя в приложении, позволяя пользователю легко совершать сделки с существующими контактами, не прося их учетные записи Venmo. Несмотря на то, что приложения могут показаться общим и удобным для импорта контактов с вашего телефона, аспект социальных сетей Venmo делает эту функцию опасной, потому что ваш список друзей, то есть все ваши контакты, по умолчанию, а также ваши транзакции.
Вот как проводные журналисты по расследованию Дхрув Мехрота и Тим Марчман обнаружили список друзей Ванмо. Поскольку он оставил его публичным, весь мир теперь знает свою телефонную книгу, в том числе его громкие коллеги, такие как начальник штаба Белого дома Сьюзи Уайлс и личные контакты, такие как врачи и агенты по недвижимости. Эти обнаженные отношения, особенно личные, являются«Образцы, точки давления или путь»Это шпионы ищут. Мехрота и Марчман рассказывают о опасности по умолчанию такого функции такой функции, как список друзей Венмо: делая отношения общедоступными и видимыми, эти платформы«Потенциально [дают] противникам возможность поиска людей вокруг власти».
Что наиболее тревожно, так это то, что список друзей Вальса не был разоблачен высокотехнологичными хакерами, но был раскрыт проводными журналистами, которые просто использовали функцию поиска натив в Venmo. Значение, я, вы и средний Джо могут провести то же тип расследования (или глубокого преследования) с нашими собственными учетными записями Venmo в списках других общественных друзей других людей из -за плохого выбора дизайна приложения и настройки конфиденциальности по умолчанию. Именно поэтому команды продуктов должны заботиться о площади данных, оставленном продуктом, чтобы понять, какие чувствительные отношения пользователей или метаданные хранятся или отображаются по умолчанию.
Ключевым методом раскрытия данных данных является цифровой анализ продукта. Цифровая криминалистика«Это ветвь судебной науки, которая фокусируется на выявлении, приобретении, обработке, анализе и отчетности по данным, хранящимся в электронном виде».Другими словами, цифровая криминалистика помогает нам понять, какие цифровые доказательства оставлены цифровыми и электронными продуктами. Although most often used by law enforcement and in corporate incident response, digital forensics can be a valuable tool for product teams to identify security and privacy blind spots, such as Venmo defaulting Friends List as public.
В свете этого инцидента я вернулся к белой бумаге, на которой написалЦифровая криминалистика VENMO в 2021 году в 2021 годуДля моего университетского курса кибербезопасности. В моем анализе я обнаружил типы данных, хранящихся в Venmo, и где они хранились в iPhone пользователя. Возьмите, например, список друзей. Журналисты -следственные журналисты смогли найти имена и их учетные записи Venmo в списке друзей Вальса в пользовательском интерфейсе. Тем не менее, есть гораздо больше данных из функции списка друзей, которые будут храниться в телефоне любого пользователя. Я нашел списки номеров телефонов друзей, друзей, с которыми пользователь чаще всего совершает, и даже учетные записи, которые не являются друзьями пользователя, но имеют историю транзакций с пользователем. Оставленные позади хлебных крошек достаточно, чтобы собрать вместе, кто является контактами пользователя, как их достичь, насколько они близки к пользователю, который находится в периферийной сети пользователей, и что пользователь любит покупать.
Охлаждение, не так ли, для незнакомца, чтобы узнать о вас так много только от вашего Venmo. Но, возможно, то, что на самом деле отправит охлаждение в вашем позвоночнике, так это то, чтоVenmo был осведомлен о рисках безопасности, связанных с разоблачением транзакций пользователей и друзей в 2019 году через открытое письмо Mozilla и Фонда Electronic Frontier (EFF)Полем Они умоляли Venmo 1) сделать транзакции приватными по умолчанию, а 2) дают пользователям настройки конфиденциальности для списка своих друзей. Компания, однако, не предприняла немедленных действий после открытого письма.Только до 2021 года, когда BuzzFeed News сообщил, как легко было найти бывшего президента Джо Байдена в приложении, что Venmo наконец -то дал пользователям возможность скрыть список друзей, соблюдая только точку 2 в открытом письмеПолем Venmo сознательно подвергает риска своих пользователей в течение двух лет, и даже сейчас шесть лет спустя компания еще еще не составила транзакции и друзья по умолчанию.
“Venmo’s disregard for its users’ privacy”Как критиковал Mozilla и EFF, заставит потребителей терять доверие к цифровым продуктам, которые они используют каждый день, и отвлекают их от этих продуктов и компаний, которые не смогли уважать и защитить безопасность и конфиденциальность своих пользователей.
Вот почему команды продуктов должны рассматривать конфиденциальность как бизнес -стратегию, а не обязательство по соблюдению. Кори Манчбах, генеральный директор платформы данных клиентов Blueconic, заявляет, что«[T] бренды, которые приоритет конфиденциальности сегодня получит лояльность клиентов завтра».Она понимает, что конфиденциальность является «движущей силой для заработной платы потребительского доверия» и даже дифференциатора бренда. Внедряя конфиденциальность в ценностные предложения, компании могут «превратить [конфиденциальность] из -за риска управления в драйвере для роста».
Чтобы прочитать полную белую бумагу для IOS в Venmo, которую я написал в 2021 году для моего курса цифровой криминалистики в iOS в Университете Южной Калифорнии (USC), ClickздесьПолем
