Venmo, es una plataforma de pagos móviles propiedad de Paypal, recientemente, la compañía registró una nueva modalidad mediante una tarjeta de débito emitida por Venmo, con el fin de extender aun mas el mercado de estas transacciones, sin embargo, esto puede ser riesgoso para quienes usen esta alternativa de pagos, ya que un investigador de seguridad detectó un fallo que permite que los datos de los usuarios se exhiban publicamente.
Hang Do Thi Duc, fue el investigador que descubrió que la gran mayoría de las transacciones de Venmo, que se registran en una API pública, son accesibles para cualquier persona.
Thi Duc, dice que usó la política de privacidad para consultar la API de Venmo y descargar datos de todas las transacciones públicas de 2017 de la compañía -207,984,218, en total.
Esto representa una gran vulnerabilidad, debido a que la API expone datos como el nombre y el apellido del remitente y del destinatario, los avatares de Venmo, la fecha de la transacción, un comentario sobre la transacción, los tipos de transacción y más.
¿A qué se debe esta fuga de información?
Según el reporte de Duc, esto ocurre es porque la configuración predeterminada de la aplicación Venmo está configurada como “Pública” para todos los usuarios.
Por lo que los usuarios deberían cambiar específicamente este valor, para proteger sus datos, de lo contrario, todas las transacciones que realizan a través de la aplicación se registran y se ponen a disposición de cualquiera a través de la API pública de Venmo.
Duc, creó un sitio llamado “Public by default”, donde se expone el rastreo de varios usuarios de Venmo entre ellos: un revendedor de cannabis, un distribuidor de maíz, una familia, parejas aleatorias, pero también la historia de una mujer con 2.033 transacciones de Venmo.
A pesar de la información suministrada, tal parece que la compañía no tiene intenciones –de momento– de solventar esta configuración por defecto, ya que, accediendo desde este link podemos ver la información de la última transacción realizada con Venmo.
Además, esto data desde hace casi dos años, pues un investigador llamado Dan Gorelick, advirtió por primera vez sobre este tema en octubre de 2016.