Некоммерческая организация «Фонд электронных рубежей» (Electronic Frontier Foundation, EFF) и компания Mozilla опубликовали открытое письмо, в котором призвали компанию Venmo исправить недочеты в политике конфиденциальности приложения.

Venmo — сервис мобильных платежей, принадлежащий PayPal. Владельцы счетов Venmo могут переводить денежные средства другим пользователям. В приложении присутствует много уязвимостей, в том числе проблема, в связи с которой действия и транзакции пользователя раскрываются другим, если не изменить заводские настройки.

«Мы пишем, чтобы выразить нашу глубокую обеспокоенность игнорированием Venmo важности конфиденциальности пользователей и призвать Venmo внести два важных изменения в настройки конфиденциальности: сделать транзакции конфиденциальными по умолчанию и предоставить пользователям настройки конфиденциальности для своих списков друзей, — говорится в письме.

Данная ситуация продолжается еще с 2018 года, когда исследователь безопасности Хан До Ти Дук (Hằng Đỗ Thị Đức) смогла использовать общедоступный API-интерфейс Venmo для сбора информации о личной жизни пользователя на основе смайликов и сообщений, которые были отправлены вместе с платежами или запросами. А в начале 2019 года другому исследователю, Дэну Сэлмону (Dan Salmon), удалось написать простой скрипт для эксплуатации API Venmo и в день загружать данные о 115 тыс. транзакций других пользователей. Таким образом он собрал информацию о 7 млн платежей.

В дополнение к самим транзакциям Venmo не предлагает возможность сделать список друзей приватным. Каждый, кто может видеть учетную запись Venmo, также может видеть друзей пользователя.

Источник: securitylab.ru