Original-URL des Artikels: https://www.golem.de/news/datenschutz-paypal-tochter-venmo-belaesst-transaktionen-im-internet-1906-141947.html    Veröffentlicht: 17.06.2019 11:01    Kurz-URL: https://glm.io/141947

Datenschutz

Paypal-Tochter Venmo belässt Transaktionen im Internet

Über die API des Zahlungsdienstes Venmo lassen sich die Transaktionen inklusive persönlicher Daten abrufen. Ein Informatikstudent hat laut einem Bericht sieben Millionen Transaktionen heruntergeladen und auf Github veröffentlicht.

Die Paypal-Tochter Venmo selbst bewirbt ihren Dienst als "die unterhaltsame und einfache Möglichkeit, Geld zu senden, auszugeben und zu empfangen". Die Transaktionen, die mit dem Zahlungsdienst abgewickelt werden, sind standardmäßig öffentlich einsehbar und können so durchaus auch für Nichtnutzer unterhaltsam sein. Der Informatikstudent Dan Salmon sammelte sieben Millionen Transaktionen und veröffentlichte diese auf Github, wie Techcrunch berichtet. Der Zahlungsdienst habe aktuell rund 40 Millionen Nutzer.

Bereits vor einem Jahr konnte die Programmiererin und Privatsphäreforscherin Hang Do Thi Duc über 207 Millionen Datensätze von Venmo herunterladen. Sie bereitete die Daten mit dem Projekt Public By Default kreativ und unterhaltsam auf. Neben verschiedensten Statistiken erzählt sie auf Basis der Daten kleine Geschichten aus dem Leben der Venmo-Nutzer, beispielsweise von einem Ehepaar, das gemeinsam zum Tierarzt geht, bei Walmart einkauft und bestimmte Gerichte zum Mitnehmen bestellt. Mit dem Projekt wollte Do Thi Duc auf die Privatsphäre-Probleme des Zahlungsdienstes aufmerksam machen. Sie veröffentlichte daher die Daten und Geschichten anonymisiert und erklärte in einer Anleitung, wie Nutzer die Public-Einstellung entfernen können.

Die Venmo-Daten inspirierten aber auch andere Projekte, zum Beispiel einen Twitter-Bot namens "Wer kauft bei Venmo Drogen?". Dieser suchte in den Transaktionskommentaren nach einschlägigen Schlagworten oder Emojis und tweetete anschließend die Profilbilder und Nutzernamen der beteiligten Venmo-Nutzer. Die Tweets wurden mittlerweile gelöscht.

Daten lassen sich leicht abrufen

Geändert hat sich seitdem nicht viel. Salmon konnte in den vergangenen sechs Monaten immer noch Millionen Datensätze herunterladen. Venmo reagierte weder auf Presseanfragen noch wurden die Standardeinstellungen geändert. Unter der URL venmo.com/api/v5/public?limit=1 lassen sich auch nach wie vor die letzten Transaktionen auf Venmo von jedem einsehen.

Über die API lassen sich Daten wie die Benutzernamen, die Vor- und Nachnamen, Links zu den Profilbildern sowie das Anmeldedatum von Sender und Empfänger sowie der Kommentar zur jeweiligen Transaktion öffentlich einsehen. "Es gibt wirklich keinen Grund, diese API für nicht authentifizierte Anfragen zu öffnen", sagte Salmon Techcrunch. Venmo habe mittlerweile die API-Anfragen auf 40 Transaktionen pro Minute beschränkt - das erlaubte dem Forscher allerdings weiterhin, pro Tag um die 57.600 Transaktionen auszulesen.  (mtr)


Verwandte Artikel:
Zahlungssystem: Apple Pay soll Überweisungen zwischen Freunden ermöglichen   
(28.04.2017, https://glm.io/127546 )
Datenleck: Nutzerdaten von Facebook-Apps ungeschützt im Internet   
(04.04.2019, https://glm.io/140450 )
Sicherheitslücke: Linksys-Router leaken offenbar alle verbundenen Geräte   
(20.05.2019, https://glm.io/141367 )
Datenleck: App leakt zwei Millionen WLAN-Passwörter   
(23.04.2019, https://glm.io/140814 )
Datendiebstahl: Kundendaten zahlreicher deutscher Firmen offen im Netz   
(30.04.2019, https://glm.io/140973 )

© 1997–2019 Golem.de, https://www.golem.de/