Datenschutz: Paypal-Tochter Venmo belässt Transaktionen im Internet

Über die API des Zahlungsdienstes Venmo lassen sich die Transaktionen inklusive persönlicher Daten abrufen. Ein Informatikstudent hat laut einem Bericht sieben Millionen Transaktionen heruntergeladen und auf Github veröffentlicht.

Artikel veröffentlicht am ,
Die Transaktionen der Venmo-Nutzer lassen sich öffentlich einsehen.
Die Transaktionen der Venmo-Nutzer lassen sich öffentlich einsehen. (Bild: Venmo)

Die Paypal-Tochter Venmo selbst bewirbt ihren Dienst als "die unterhaltsame und einfache Möglichkeit, Geld zu senden, auszugeben und zu empfangen". Die Transaktionen, die mit dem Zahlungsdienst abgewickelt werden, sind standardmäßig öffentlich einsehbar und können so durchaus auch für Nichtnutzer unterhaltsam sein. Der Informatikstudent Dan Salmon sammelte sieben Millionen Transaktionen und veröffentlichte diese auf Github, wie Techcrunch berichtet. Der Zahlungsdienst habe aktuell rund 40 Millionen Nutzer.

Stellenmarkt
  1. Servicetechniker (w/m/d) Applikations- / Shopfloor Support
    Bechtle Onsite Services GmbH, Salzgitter
  2. Sachbearbeiter*in (IT-Systemsupport)
    Zweites Deutsches Fernsehen Anstalt des öffentlichen Rechts, Mainz
Detailsuche

Bereits vor einem Jahr konnte die Programmiererin und Privatsphäreforscherin Hang Do Thi Duc über 207 Millionen Datensätze von Venmo herunterladen. Sie bereitete die Daten mit dem Projekt Public By Default kreativ und unterhaltsam auf. Neben verschiedensten Statistiken erzählt sie auf Basis der Daten kleine Geschichten aus dem Leben der Venmo-Nutzer, beispielsweise von einem Ehepaar, das gemeinsam zum Tierarzt geht, bei Walmart einkauft und bestimmte Gerichte zum Mitnehmen bestellt. Mit dem Projekt wollte Do Thi Duc auf die Privatsphäre-Probleme des Zahlungsdienstes aufmerksam machen. Sie veröffentlichte daher die Daten und Geschichten anonymisiert und erklärte in einer Anleitung, wie Nutzer die Public-Einstellung entfernen können.

Die Venmo-Daten inspirierten aber auch andere Projekte, zum Beispiel einen Twitter-Bot namens "Wer kauft bei Venmo Drogen?". Dieser suchte in den Transaktionskommentaren nach einschlägigen Schlagworten oder Emojis und tweetete anschließend die Profilbilder und Nutzernamen der beteiligten Venmo-Nutzer. Die Tweets wurden mittlerweile gelöscht.

Daten lassen sich leicht abrufen

Geändert hat sich seitdem nicht viel. Salmon konnte in den vergangenen sechs Monaten immer noch Millionen Datensätze herunterladen. Venmo reagierte weder auf Presseanfragen noch wurden die Standardeinstellungen geändert. Unter der URL venmo.com/api/v5/public?limit=1 lassen sich auch nach wie vor die letzten Transaktionen auf Venmo von jedem einsehen.

Golem Akademie
  1. SAMBA Datei- und Domänendienste einrichten: virtueller Drei-Tage-Workshop
    15.–17. November 2021, Virtuell
  2. Terraform mit AWS: virtueller Zwei-Tage-Workshop
    14.–15. Dezember 2021, Virtuell
Weitere IT-Trainings

Über die API lassen sich Daten wie die Benutzernamen, die Vor- und Nachnamen, Links zu den Profilbildern sowie das Anmeldedatum von Sender und Empfänger sowie der Kommentar zur jeweiligen Transaktion öffentlich einsehen. "Es gibt wirklich keinen Grund, diese API für nicht authentifizierte Anfragen zu öffnen", sagte Salmon Techcrunch. Venmo habe mittlerweile die API-Anfragen auf 40 Transaktionen pro Minute beschränkt - das erlaubte dem Forscher allerdings weiterhin, pro Tag um die 57.600 Transaktionen auszulesen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Kursabsturz
Teamviewer-Chef spricht über schwere hausgemachte Fehler

Die vielen neuen Mitarbeiter seien nicht richtig eingearbeitet worden. Und die Ziele von Teamviewer seien zu hochgesteckt gewesen, sagt Oliver Steil.

Kursabsturz: Teamviewer-Chef spricht über schwere hausgemachte Fehler
Artikel
  1. Amazon-Go-Konkurrenz: Rewe eröffnet ersten kassenlosen Supermarkt
    Amazon-Go-Konkurrenz
    Rewe eröffnet ersten kassenlosen Supermarkt

    Kameras und Sensoren überwachen Kunden in Rewes kassenlosem Supermarkt. Bezahlt wird mit dem Smartphone.

  2. NDR und Media Broadcast: Fernsehen über 5G wird breit ausgestrahlt
    NDR und Media Broadcast
    Fernsehen über 5G wird breit ausgestrahlt

    Fernsehen kann auch über 5G laufen. Auf 578 MHz kann das jetzt ausprobiert werden. NDR und Media Broadcast machen es möglich.

  3. Smartphone-Tarife: Tchibo bietet Jahres-Tarif mit 72 GByte
    Smartphone-Tarife
    Tchibo bietet Jahres-Tarif mit 72 GByte

    In diesem Jahr stehen drei unterschiedliche Jahres-Tarife für Tchibo-Kunden zur Wahl.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Speicherprodukte von Sandisk & WD zu Bestpreisen (u. a. Sandisk SSD Plus 2TB 140,99€) • Sapphire Pulse RX 6600 497,88€ • Epos H3 Hybrid Gaming-Headset 144€ • Apple MacBook Pro 2021 erhältlich ab 2.249€ • EA-Spiele für alle Plattformen günstiger • Samsung 55" QLED 699€ [Werbung]
    •  /