PayPal: Venmo-App gibt Daten und Chats öffentlich preis

Aljoscha Reineking 55 Kommentare
PayPal: Venmo-App gibt Daten und Chats öffentlich preis
Bild: publicbydefault.fyi

Eine Berliner Sicherheitsforscherin hat aufgedeckt, dass die Bezahl- und Social-Media-App Venmo eine öffentliche API nutzt, welche fast sämtliche Details aller Transaktionen im Internet zugänglich macht. Venmo kann aktuell nur in den USA genutzt werden und soll rund sieben Millionen Nutzer vorweisen.

Mobile Payment ohne Datenschutz

In den Werkseinstellungen der Venmo-App werden alle Transaktionen öffentlich gespeichert. Dies gilt sowohl für die Beträge als auch Nachrichten, die über die Plattform verschickt werden. Dabei können alle Daten wie Klarnamen, Profilbilder, dazugehörige Facebook-IDs und die Transaktionspartner eingesehen werden. Eine Abfrage erfolgt über das HTTP-Protokoll und kann theoretisch von jedem Interessenten abgerufen werden.

Venmo App
Venmo App (Bild: venmo.com)

Über 200 Millionen Transaktionen öffentlich zugänglich

Laut der Sicherheitsforscherin Hang Do Thi Duc konnten 207.984.218 Transaktionen von 18.429.464 Nutzern im letzten Jahr eingesehen werden. In den Einstellungen der App lässt sich theoretisch die Veröffentlichung der Daten unterbinden, diese Einstellung scheint den meisten Nutzern allerdings nicht bekannt zu sein.

Vom Cannabis-Ankauf bis zu Beziehungsdramen

Die PayPal-Tochter Venmo bietet als freier Marktplatz viele Möglichkeiten des Verkaufs. Über die Website Publicbydefault.fyi hat Hang Do Thi Duc mehrere Geschichten aus dem Netzwerk von Venmo zusammengetragen und diese anschaulich wiedergegeben. Ausgesucht wurden besonders skurrile Geschichten, wie etwa ein Beziehungsdrama, welches öffentlich zu einer Trennung mit Beleidigung führt oder ein offensichtlicher Drogen-Dealer, welcher die Plattform nutzt, um Bezahlungen von seinen Kunden entgegenzunehmen.

Venmo reagiert, löscht die API aber nicht

Die Dokumentation des Server-Interfaces hat Venmo nach dem Bekanntwerden der öffentlichen API von den eigenen Servern entfernt. Die API ist in ihrer derzeitigen Form aber immer noch aktiv und kann noch immer verwendet sowie missbraucht werden. Laut einer Unternehmenssprecherin sei es jedem Nutzer selbst freigestellt, welche Daten öffentlich geteilt werden sollen und welche nicht. In Europa könnte ein solches System bedingt durch die neue DSGVO wohl nicht ohne weiteres etabliert und rechtskonform aufrecht gehalten werden.