您的位置:首页>要闻 >内容

数百万的Venmo交易在隐私设置方面受到警告

2019-06-17 08:37:49来源:
导读一名计算机科学专业学生已经刮掉了七百万Venmo在一位隐私研究人员以类似的壮举下载了数以亿计的Venmo交易一年之后,证明用户的公共活动仍可

一名计算机科学专业学生已经刮掉了七百万Venmo在一位隐私研究人员以类似的壮举下载了数以亿计的Venmo交易一年之后,证明用户的公共活动仍可轻松获得的交易。丹·萨尔蒙说,他在累计六个月的时间内完成了交易,以提高认识并警告用户将他们的Venmo付款设置为私人。去年,前Mozilla研究员Hang Do Thi Duc下载了2.07亿笔交易后,点对点移动支付服务面临批评。由于用户之间的Venmo付款默认是公开的,因此可以进行抓取工作。可废弃的数据激发了几个新的项目 - 包括每次有人购买药物时发推文的机器人。

一年过去了,Salmon几乎没有变化,而且在没有获得用户许可或需要应用程序的情况下,通过公司的开发人员API下载数百万笔交易仍然很容易。

使用这些数据,任何人都可以查看整个用户的公共交易历史记录,他们与谁共享资金,何时以及在某些情况下出于何种原因(包括非法商品和物质)。

“没有理由让这个API对未经身份验证的请求开放,”他告诉TechCrunch。“API仅用于为应用程序主页提供公共事务的滚动提要,但如果这是您的目标,那么您应该要求每个请求都有一个令牌来验证用户是否已登录。”

Venmo自从一年前刮痧工作爆发以来,其4000万用户的隐私问题几乎没有做到。Venmo通过更改其隐私指南做出反应,并在以后更新其应用程序以在用户将其默认隐私设置从公共更改为私有时删除警告。

当Dan Gorelick在2016年第一次对Venmo的公开数据发出警报时,对API的限制很少,这意味着任何人都可以批量和速度地抓取数据。像Johnny Xmas这样的其他研究人员有,因为说是Venmo限制了它的API限制什么可以收集的历史数据。但Venmo最近的限制仍然允许Salmon每分钟吐出40笔交易。他说,这相当于每天约57,600次刮擦交易。

去年,PayPal- 拥有Venmo - 与联邦贸易委员会就隐私和安全违规问题达成和解。该公司因其隐私设置误导用户而受到批评。美国联邦贸易委员会表示,用户没有被告知某些交易会被公开分享,并且Venmo歪曲了应用程序的安全性,称其为“银行级”,FTC提出异议。

免责声明:本文由用户上传,如有侵权请联系删除!

猜你喜欢

最新文章