- Mozilla en EFF roepen PayPal op om te overwegen wijzigingen aan te brengen in instellingen die van invloed zijn op de privacy van Venmo.
- De app is herhaaldelijk door onderzoekers aanbevolen, omdat de API veel van de transacties van zijn gebruikers onthult.
- PayPal zou de standaardinstelling heel gemakkelijk kunnen wijzigen, maar om onbekende redenen gebeurt dit niet.
De Electronic Frontier Foundation en de Mozilla Foundation hebben dat wel gedaan een open brief gestuurd Ik roep hen op om eindelijk de beveiligingslekken te dichten die de app sinds afgelopen zomer teisteren. Ze richten de brief aan het leiderschap van PayPal, aangezien Venmo sinds 2013 deel uitmaakt van PayPal, en vragen hen om alle gebruikerstransacties op Venmo standaard privé te maken. Bovendien raden ze ontwikkelaars aan meer privacygerelateerde instellingen te implementeren en gebruikers manieren te bieden om de zichtbaarheid van hun vriendenlijsten te beheren. De twee organisaties vrezen dat Venmo’s minachting voor de privacy van gebruikers bijzonder schadelijk zal zijn voor het publiek naarmate het bedrijf groeit.
Zoals we in juli 2018 meldden, ontdekte privacyadvocaat en Mozilla-beveiligingsonderzoeker Hang Do Thi Duc dat de Venmo API standaard alle gebruikerstransacties in de “openbare” modus registreerde, waardoor iedereen die toegang had tot de API alle lopende transacties kon zien. De ontdekking leidde tot onderzoeken waaruit bleek dat alleen al in 2017 meer dan 200 miljoen gebruikerstransacties zijn gelekt. Omdat Venmo een mobiele betaalapplicatie is waarmee gebruikers rechtstreeks vanaf hun mobiele apparaten geld kunnen overmaken, waren de gelekte gegevens erg gevoelig.
Bijna een jaar later, in juni 2019, bewees een student computerwetenschappen genaamd Dan Salmon dat het nog steeds mogelijk was om miljoenen Venmo-transacties te schrappen met behulp van de API van de app. De reden hiervoor is dat Venmo gebruikers de mogelijkheid bood om de transactie-opname in te stellen op “Privé”, maar de “Public”-modus bleef de standaardinstellingen en veel gebruikers namen niet de moeite om deze te wijzigen. Twee maanden na de media-razernij die door dit artikel werd aangewakkerd, heeft PayPal de standaardopname-instelling nog steeds niet gewijzigd in privé, zodat de meeste gebruikerstransacties beschikbaar blijven.
Zoals Ashley Boyd van Mozilla Moederbord zei over dit onderwerp: “Het is verbazingwekkend dat ondanks de frequentie van datalekken en ondanks het feit dat meerdere onderzoekers de kwetsbaarheden van Venmo hebben blootgelegd, de app gebruikerstransacties niet standaard privé heeft verklaard.” Je kunt zoveel over iemand afleiden uit hun Venmo-feed: met wie ze uitgaan, waar ze eten, wat ze aan huur betalen. Deze informatie mag eenvoudigweg niet openbaar zijn zonder dat gebruikers daar expliciet voor kiezen. “
Als u Venmo gebruikt, bescherm dan de privacy van uw transacties door op ‘Instellingen’ in het app-menu te tikken, naar het gedeelte ‘Privacy’ te gaan, op ‘Eerdere transacties’ te tikken en vervolgens ‘Alles wijzigen in privé’ te selecteren. Hiermee worden alle transacties uit het verleden gedekt en worden de transacties die in de toekomst zullen plaatsvinden veiliggesteld.
Gebruik je Venmo? Heb je de opname-instellingen op privé gezet? Laat ons uw mening weten in de reacties hieronder of op onze sociale media op Facebook En Twitteren.
