大学院生のダン・サーモン氏は、ソーシャルペイメント事業からここ数カ月収集したベンモ送金700万件をオンラインで公開し、公開取引データのプライバシーリスクに注意を喚起した。
Venmoとは、ご存じない方のために説明すると、友達同士がお互いにお金を支払えるアプリです。エル・レッグのベイエリアのハゲタカたちは、主に経費として計上できないレストランやバーの請求書の支払いにVenmoを使っています。一人が自分のクレジットカードで支払い、友達が自分の分をVenmoで送金するのです。これで請求書の受け取りがずっと楽になります。
2010年代なので、Venmoはデフォルトで、添付されたメッセージや絵文字とともに取引を公開します。まるで決済版のTwitterのように、知らない人の支出ややり取りを覗き見ることができるのです。誰が誰と飲みに行ったのか、誰が誰かに多額の借金をしているのか、誰が休暇に行ったのか、などなど。
「このデータセットを公開したのは、Venmoユーザーの皆様に、このデータはすべてAPIキーなしで誰でも入手できる公開データであることを知っていただきたいからです」とサルモン氏はGitHubへの投稿で述べた。「(オープンソースインテリジェンス)調査を行う攻撃者にとって、ここには非常に貴重なデータが含まれています。」
サルモン氏はThe Registerへの電子メールで、スヌーパーは、Venmo ユーザーのモバイル プラットフォーム (攻撃のターゲット設定に便利)、個人的なつながり、違法な販売 (脅迫用)、スピアフィッシングに使用できる支出パターンなどのデータ ポイントに興味を持つ可能性があると述べた。
もしVenmoの利用者が定期的に友人にDomino'sのピザ代金を払い戻すなら、詐欺師はターゲットを騙す可能性を高めるために偽のDomino'sのプロモーションを仕立てる可能性があると彼は示唆した。
MongoDB インスタンスからエクスポートされた、BSON (Binary JSON) 形式で圧縮されていない 10.87 GB のデータセットには、取引金額は含まれていませんが、ソーシャル エンジニアリングのトリックを容易にする可能性のある名前、日付、メッセージ、画像が含まれています。
支払いの時間だよ、PayPalとVenmoで!ああ、いや、ハハハ、財布はしまって。いい子にしてるって約束してよ
続きを読む
米国ミネソタ州立大学マンケート校のコンピュータサイエンスの大学院生であるサルモン氏は、すべてのVenmoユーザーに対し、「設定」>「プライバシー」メニューで「非公開」を選択し、「過去の取引」>「すべてを非公開に変更」からアカウントを非公開に切り替えるよう勧めた。
前述の通り、Venmoはモバイルアプリを通じた個人間の購入をデフォルトで公開しています。Venmoカード、またはモバイルウェブサイトで小売取引の際にチェックアウト時にVenmoを選択した場合の個人対加盟店間の支払いは「機密取引」とみなされ、非公開となります。加盟店は競合他社から売上データを非公開にしておきたいと考えているようです。
過去にプライバシー擁護団体から批判を受け、米国連邦取引委員会と和解したにもかかわらず、Venmoは個人間の購入をデフォルトで公開したままにしている。
2018年2月、Venmoの親会社であるPayPalは、FTC(連邦取引委員会)が提起した訴訟で和解しました。この訴訟は、Venmoが2014年までプライバシー設定の仕組みを明確に示しておらず、購入情報がソーシャルメディアのプロフィールに表示されることをユーザーに警告していなかったというものです。この和解は、虚偽の表示を禁止し、情報開示を義務付けていますが、取引をデフォルトで非公開にすることを義務付けていません。
昨年7月、ベルリンを拠点とする研究者ハン・ド・ティ・ドゥック氏は、2017年のVenmo取引約2億件を調査し、電子商取引データを閲覧するためのウェブサイト「PublicByDefault.fyi」を立ち上げました。彼の目標は、不必要なデータ共有に対する人々の意識を変えることでした。
昨年、ある開発者が薬物関連情報を含むVenmoでの購入履歴をツイートするボットを作成した件について、 The Register紙が取引のプライバシーについて質問したところ、同社の広報担当者は「他のソーシャルネットワークと同様に、VenmoユーザーはVenmoの公開フィードで共有したい内容を選択できます。Venmoでの支払いの共有に関しては、ユーザーがカスタマイズできる様々な設定があります」と回答しました。
同社からの現在のメッセージも、それほど変わりません。「Venmoは、今日のソーシャルワールドにおいて友人と体験を共有するために設計されており、ニュースフィードは常にその大きな役割を果たしてきました」と、Venmoの広報担当者はThe Registerへのメールで述べています。「ユーザーは私たちにお金と個人情報を託してくださっており、私たちはこの責任を非常に真剣に受け止めています。」
「Venmoは、データの非公開化を求める声に抵抗していると思います。それはアプリ全体の売り文句に反するからです」とサルモン氏は述べた。「Venmoは『ソーシャル』アプリとして設計されており、オープンでソーシャルにすればするほど、問題に巻き込まれる可能性が高くなります。」
Venmo のプライバシー ポリシーには、顧客データが非公開にならないすべての理由が詳細に説明されています。®
