Die moderne Bezahl-App Venmo, die zum PayPal Konzern gehört und über rund 7 Millionen Nutzer im Monat verfügt, gibt in der Standardeinstellung sämtliche Informationen über Nutzer und Zahlungen im Web preis.
Bezahlen per App ist „cooler“
Mobiles Bezahlen per App ist auf dem Vormarsch, denn schließlich geht es viel schneller als eine übliche Banküberweisung. Noch „cooler“ wird die ganze Sache, wenn man dem Empfänger des Geldes auch noch Chat-Nachrichten mit Emojis schicken kann. So ist das zum Beispiel mit der Bezahl-App Venmo möglich, welche zum PayPal Imperium gehört. Dieser Fortschritt kann aber auch sehr bedenkliche Nachteile haben, wie die Berliner Sicherheitsforscherin Hang Do Thi Duc kürzlich anschaulich gezeigt hat. Venmo ist zwar derzeit nur in den USA benutzbar, trotzdem konnten über 200 Millionen Venmo-Transaktionen ohne große Probleme aus Deutschland ausgelesen werden. Denn die Venmo API ist öffentlich zugänglich, was es praktisch jedermann ermöglicht, höchst sensible und private Daten einzusehen.
Einfache HTTP Abfrage genügt
Für jeden Datenschützer dürfte die Venmo App ein absoluter Alptraum sein, ein Einsatz in Deutschland gerade unter Hinsicht der neuen DSGVO kaum möglich. Denn: In den Werkseinstellungen der App sind sämtliche Transaktionen und die dazugehörigen Nachrichten an den Empfänger öffentlich. Daneben kann jeder den Klarnamen, das Profilbild und auch noch die Facebook-ID des Transaktionspartners sehen.
Die Berliner Sicherheitsforscherin hat somit alle Transaktionen der Venmo-Nutzer im Jahr 2017 zusammengefasst. Die Zahl: Rund 207.984.218 Transaktionen, die von 18.429.464 Venmo-Nutzern getätigt wurden.
Auf Ihrer Webseite zeigt die die Problematik der ganzen Situation auf. So wird auf einer Seite übersichtlich dargestellt, welche Datenmassen von den PayPal-Servern ausgelesen wurden. Auf der anderen Seite wurden ein paar erschreckende Beispiele von diversen Anwendern herausgepickt.
Unter anderem hat sich in der App ein Liebespaar gefunden, das sich über die (öffentlichen) Chat-Nachrichten der Transaktionen näher kennen gelernt hat. Andere haben dieselbe Funktion wiederrum genutzt, um sich zu trennen und mit Beleidigungen um sich zu werfen. In einem anderen Beispiel ist der Cannabiskauf eines Nutzers dank der Transaktionsdetails fein aufgegliedert dargestellt. Immerhin: Der Nutzer kommt anscheinend aus Kalifornien, hier ist Cannabis legal. In anderen Ländern dürfte man sich nun wohl auf rechtliche Probleme einstellen. Wer also Venmo verwendet, sollte schleunigst seine Privatsphäre-Einstellungen überprüfen.
Venmo reagiert auf die Vorwürfe
Als Reaktion hat die Firma mittlerweile Dokumentation des Server-Interfaces aus dem Netz entfernt – die API ist allerdings weiterhin voll funktionsfähig. Laut diverser Aussagen wurden die Möglichkeiten darin allerdings bereits eingeschränkt. Gegenüber dem Guardian sagte eine Venmo-Sprecherin, dass man sich bewusst sei, mit dem Geld und den persönlichen Informationen der eigenen Nutzer betraut zu sein und diese Verantwortung und geltende Gesetze sehr Ernst nehme. Die Nutzer hätten, wie bei jedem anderen sozialen Netzwerk, schließlich die Möglichkeit selbst zu bestimmen, welche Inhalte im Venmo-Feed öffentlich geteilt werden.
Allerdings dürften die meisten Nutzer sich mit dieser Einstellung niemals befasst haben, geschweige denn die Venmo API und deren funktionsweise kennen.