PayPal旗下移动支付服务Venmo默认公开用户交易信息（已遭滥用）

一名隐私提倡者发布最新调查结果表示，多数 Venmo 交易被记录在任何人均可访问的一个公共 API 中，原因是 Venmo app 的默认设置为所有用户设置为“公开”。

除非用户特别更改了这个值，否则他们通过 Venmo 转账 app 做出的所有交易都被记录且任何人均可通过 Venmo 公共 API 遭访问。

通过这个 API 暴露的数据包括发送人和收款方的姓和名、Venmo 头像、交易日期、交易留言、交易类型等。

Venmo API 可追踪用户生活

发现这个问题的隐私提倡者 Hang Do Thi Duc 表示，他通过这一隐私策略查询 Venmo API 并下载了该公司所有2017年的公开交易记录，总计 207,984,218 条。

他还建立了一个名为“Public by Default （默认公开）”的网站，列出了一些相互关联的 Venmo 支付案例，为该公司的某些客户创建了个人资料。例如，Duc 不但追踪了与大麻经销商、玉米经销商、家庭、随机夫妇相关的交易，而且还追踪了一名女性的所开展的2033次 Venmo 交易故事。

Duc 还发布可视指令，说明 Venmo 用户如何将个人资料的设置从“公开”改为“私密”。

可从此处访问Venmo API，也可访问这个链接查看公开 API 中记录的最新 Venmo 交易。

问题自2016年就已存在

Venmo 是一款仅在美国使用的移动支付应用，于2009年推出。Braintree 于2012年以2620万美元的价格收购 Venmo；2013年，PayPal 以8亿美元的价格收购了 Braintree；目前，Venmo 是 PayPal 的一个官方子公司。

Duc 的研究工作并非首创。研究员 Dan Gorelick 曾在2016年10月率先警告用户注意该问题，他发布了一份关于如何挖掘 Venmo API 获取敏感信息的教程。

本文由360代码卫士翻译自BleepingComputer

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。