ベルリンを拠点とする研究者ハン・ド・ティ・ドゥック氏によると、PayPalが所有するデジタルウォレットVenmoは、公開APIを介してあまりにも多くのデータを共有しているという。
ユーザーがサインアップ時にアカウントのデフォルト設定を受け入れると、サービスのAPIを介して取引の詳細にアクセスでき、「人々が何を購入し、誰に送金し、なぜ送金しているのかを非常に簡単に確認できる」とド・ティ・ドゥック氏は書いている。
デフォルトでは、Venmo はあなたの支払いとあなたの友人の支払いを、アプリ内の他の Venmo 使用中の友人に対して表示します。これは、ツイートや Instagram への写真の投稿がデフォルトで公開されるのと同じです。
このAPIはVenmoで公開されており、Do Thi Duc氏はこのAPIを使用して2017年に処理された2億件以上の取引データをダウンロードすることができました。同研究者は、「ユーザー、取引、そして購入商品について、驚くほど多くの情報を得ることができました」と述べています。
これには、大麻の現金(昨年900件以上の取引を記録した販売者の記録による)、食べ物、ロマンチックな贈り物、ピザ、AirBNBの家賃などが含まれており、これらはすべて、ほとんどのVenmoユーザーが公開されていると考える範囲をはるかに超える個人情報を含んでいます。
PayPal、現金をばらまくアプリ「Venmo」を巡り調査
続きを読む
Venmo は API の威力をかなり誇りに思っているようで、このリンクには、アプリ内で設定を「非公開」にしていないユーザーによる最新の取引が表示されています。
「実名、プロフィールリンク(過去の取引にアクセス)、おそらくFacebookのID、そして基本的には一緒に時間を過ごす友人のネットワークを含む公開フィードが存在することは問題だと思う」とド・ティ・ドゥック氏は書いている。
Venmoはガーディアン紙に対し、「ユーザーは私たちにお金と個人情報を託してくれています。私たちはこの責任と適用されるプライバシー法を非常に真剣に受け止めています。他のソーシャルネットワークと同様に、VenmoユーザーはVenmoの公開フィードで共有したいものを選択できます」と述べた。
執筆時点では、Do Thi Duc 氏が投稿した API リンクはまだアクティブですが、The Register は一部の API 参照が削除されたことを報告しています。
下のスクリーンショットが示すように、Google はある時点で Venmo の API ドキュメントの URL (https://venmo.com/api) をインデックスしました。
クリックして拡大
これにより、会社のホームページにリダイレクトされます。®
追伸:誰かが、Venmo 経由の薬物購入を表示する Twitter ボットを作成しました。
