(图片来源:Dashlane Blog)
她丈夫在凌晨两点提出了这个奇怪的要求。
2021年5月,基斯利·伍达德的外地配偶让她寄195美元Venmo他附上了一张电子便条,只说他稍后会解释。
她提出请求的时间,加上丈夫发来的奇怪的信息,使她产生了怀疑。
据田纳西州纳什维尔的WSMV News4报道,伍达德不知道的是,她丈夫的几个朋友几乎在同一时间收到了同样的请求。他们以为他有什么紧急情况,就把自己Venmo账户上的钱转到了他的账户上。
只有一个问题:他们无意中把钱给了一个黑客,这个黑客克隆了他们朋友的Venmo账户,里面有他的真实照片和名字。
由于这款流行的应用程序默认会公开用户的个人资料、付款记录和好友列表,不良分子多次从不知情的用户那里获取这些信息,并创建虚假的Venmo客户资料,有时只是在他们的名字后面加一个破折号或下划线。
随着商业改善局在2021年8月27日的警报中警告说:“骗子利用慷慨的朋友,通过更改用户名和头像来冒充真正的应用用户。通过Venmo的公共信息流中可见的信息,他们可以找出此人之前从谁那里汇款或收款。然后,骗子会联系这些用户,向他们要钱。”
专家说,尽管Venmo允许用户将交易设置为私密,但许多人并不具备必要的技术手段或心态来更改设置。通过公开这么多信息,Venmo无意中将用户置于危险之中。
我知道你在Venmo上做了什么
Jelena Mirkovic,南加州大学维特比研究副教授,南加州大学信息科学研究所项目负责人(图bob国际首页登录片/ Jelena Mirkovic提供)
记者们利用这款应用的搜索功能发现了一位总统的Venmo账户,以及他的人脉网络,其中包括高级官员。研究人员发现了恋人和毒贩之间的明确信息。
“过度分享存在风险。人们(在Venmo上)共享的地址可能被滥用,要么被用于身份盗窃,要么甚至可能有人来抢劫你或跟踪你。伊莲娜Mirkovic他是南加州大学维特比的研究副教授,也是南加州大学信息科学研究所的项目bob国际首页登录负责人。
“如果你分享了一些敏感的东西,比如‘这是买毒品或饮料的钱’,或者‘拉斯维加斯的派对很棒’,这可能会在以后产生影响。例如,它可能会影响你的工作前景,”米尔科维奇补充道,他是《我知道你在Venmo上做了什么:发现移动社交支付中的隐私泄露》的合著者,这篇学术论文很快将在隐私增强技术研讨会上发表。更进一步说,家暴受害者在与朋友交换付款和信息时,他们的行踪和活动可能会被揭露。
在最大的定量研究中研究包括米尔科维奇在内的一组研究人员;UCS维特比大学博士生Rajat Tandon和Pithayuth Charnsethikul;Dhiraj没吃,该中心主任德克萨斯大学奥斯汀分校计算媒体实验室;和伊什克·阿罗拉(伊什克·阿罗拉也是德克萨斯大学的计算机科学硕士)详细介绍了数百万Venmo用户如何在Venmo上透露自己极其私人的信息。
由于Venmo要求用户在付款时发送消息,许多用户在在线交流中不知不觉地提供了敏感信息,Venmo默认会将这些信息公开。研究人员所说的“隐私泄露”包括吸毒和酗酒、政治倾向、电子邮件地址、电话号码,甚至是Wi-Fi、银行账户和Netflix密码。
在同一时期的一项研究中,米尔科维奇、坦顿和他们的同事发现了几十种匿名戒酒互助社机车帮成员,以及赌徒,通过他们的Venmo朋友网络——尽管这些群体中的许多人竭尽全力隐藏这些关系,包括用Venmo付款发送荒谬的信息。
坦顿说:“其他用户的留言,有时还有该群组在Venmo上的显示名称,暴露了每个人成员身份的敏感性。”
换句话说,Venmo上发生的事情不一定会留在Venmo上。
强烈的社会倾向
bob国际首页登录南加州大学维特比博士研究生Rajat Tandon(图片/ Rajat Tandon提供)
2009年,宾夕法尼亚大学的学生伊克拉姆·马格顿·伊斯梅尔和安德鲁·科尔蒂纳提出了Venmo的想法。他们想,为什么不创建一个平台,让朋友之间可以互相转账呢?
两人最初将Venmo作为一个仅限于黑莓设备的私人文本平台。此后不久,他们决定公开付款,但不公开金额。2017年3月,玛格顿-伊斯梅尔在接受《连线》杂志采访时表示:“我当时在想,‘如果我们为每个人都制作一条动态消息会怎么样?“对我来说,这有点像Facebook或Twitter。”
收购贝宝2013年,Venmo取得了长足的发展。不过,有一个方面没有改变,那就是这款金融应用强烈的社交倾向。大多数Venmo账户都有一个“好友列表”,可以在类似社交媒体的信息源中公开分享交易细节,包括付款记录。(去年,Venmo允许用户将好友列表设为私密。)
与竞争对手的支付应用程序不同,Venmo将社交媒体与金融交易结合起来。Venmo拥有8300万用户,该公司在其网站上表示:“当你欠朋友钱而不想用现金支付时,Venmo提供了一种社交方式。”
专家表示,许多千禧一代喜欢社交方面。他们使用Venmo签到,有时会互相发送一些小礼物,比如1美元,并附上“想你”之类的信息。还有一些人发来了愚蠢的笑话,并附上了房租。
利用Venmo
尽管Venmo的社交功能为其赢得了大批粉丝,但批评人士认为,犯罪分子一再滥用Venmo侵犯人们的隐私。多年来,不良行为者访问Venmo上的公开信息,窃取和骚扰毫无戒心的用户。
2018年,隐私倡导者Hang Do Thi Duc报道称,她使用Venmo的公共API对近2.08亿笔交易进行了分类。利用这些信息,她锁定了5名个人用户,其中包括加利福尼亚州圣巴巴拉市的一名出售大麻的男子。Thi Duc是否揭露了“无数Venmo用户的吸毒习惯、个人财务状况以及与重要他人的争吵是如何被所有人看到的?电子前沿基金会Venmo的母公司PayPal在一封公开信中说道。
一年后,信息安全专家丹·萨蒙(Dan Salmon)写了一个20行的Python脚本,收集了数百万笔公开的Venmo交易,每天下载11.5万笔。在《连线》杂志的一篇评论文章中,萨蒙表示,公共数据并非“无害”。
“快速搜索一些毒品名称和俚语,就会出现数百笔交易。虽然其中有可能很多都是笑话——不可否认,我的朋友就是这样做的——如果这些描述是准确的,攻击者可能会利用这些信息进行敲诈。”
最近,BuzzFeed仅使用应用程序的搜索工具和公众朋友功能,就在不到10分钟的时间里找到了美国总统乔·拜登(Joe Biden)的Venmo账户。此外,这家在线新闻和娱乐公司还发现了近12名拜登家庭成员和一个社交网络联系人,其中包括总统的孩子、孙子和高级助手,以及他们在Venmo上的所有朋友。
尽管拜登已经将他的Venmo交易保密,但当时他无法对他的联系人做同样的事情,这使得BuzzFeed能够识别他的账户。出于国家安全考虑,拜登的Venmo账户很快就被删除了。
BuzzFeed在2021年5月14日的报告中总结道:“这款点对点支付应用将从普通人到世界上最有权势的人都暴露在风险之中。”
Venmo已多次收紧隐私设置,以应对此类引人注目的事件,并加大了一次性访问大量数据的难度。在拜登总统的账户曝光后,facebook也开始允许用户将好友列表设为私密。它还删除了全球媒体信息流,以及出现在Venmo新闻信息流中的随机用户交易。
米尔科维奇说:“这些都是朝着正确方向迈出的步骤,但还需要更多。”
量化Venmo侵犯隐私的行为
在这种背景下,米尔科维奇和坦顿以及他们的研究合作者开始确定Venmo在多大程度上侵犯了用户的隐私。
在迄今为止对Venmo交易最全面的分析中,他们研究了2012年至2020年8年间的3.89亿条公开信息。他们发现,4100万份交易记录(占电子邮件的10.5%)泄露了“一些敏感信息,如健康状况、政治倾向、毒品和酒精消费”。令人惊讶的是,近40%的数据集用户至少在金融应用程序上公开分享过一次敏感信息,很多情况下是无意的。
用户之间交换的一些Venmo信息包括“性快感”;用于艾滋病治疗。早日康复”;“同性恋活动”;“布什制造了9/11”;“大麻和其他非常有害的毒品”;“(名字)伙计,谢谢你做的一切。我的银行帐户密码是[password .]拿走你想要的”;“给我打电话[电话号码]”;“发送到我的PayPal [Email@gmail.com]。”
研究人员使用强大的机器学习模型,将交易记录中包含的信息分为敏感信息和非敏感信息。他们进一步细化了数据,将敏感信息分为14类,包括犯罪和暴力行为、性取向、健康和物理位置。
米尔科维奇说:“我们的发现让我有点震惊,从生日蛋糕到AA会员的各种用户付款细节。”“我在想,我敢打赌这些人不知道任何人都可以看到这些信息。”
该团队发现,越来越多的Venmo用户选择将自己的设置设置为私密。2013年,25%的用户拥有非公开的个人资料。研究显示,五年后,这一数字跃升至37%。
另一些时候,Venmo用户无法或不愿将应用程序设置更改为私密,他们会竭尽全力掩盖自己的活动。在所有被调查的笔记中,约有25%只有表情符号。研究人员将另外25%的音符归类为“神秘音符”,这意味着它们只包含随机数字、“hi”和“hey”等问候语,或者“too”或“The”等单个单词。这些模式说明用户关心他们的隐私,但不确定如何完全收回它。
利用机器学习分类器来识别和排序某些关键字,例如AA特定阶段(例如,第七传统),以及从许多用户那里收到的大量付款,Mirkovic和Tandon确定了几个特定的AA组。根据对这些群体的公开记录,研究人员绘制出了成员关系。
米尔科维奇说:“你可以很小心,但如果你不把你的笔记保密,那么无论你对那个小组做什么,都有可能暴露你的成员身份。”
在他们的研究过程中,他们多次试图与Venmo交谈,但没有任何高级官员回应。米尔科维奇说:“我们通过多种渠道尝试过,但都找不到人。”
Venmo没有回应南加州大学维特比的采访请求。bob国际首页登录
有趣的是,该团队确实通过PayPal的公共漏洞赏金计划(Public Bug Bounty program)获得了资金,因为他们在Venmo的api中发现了多个安全漏洞。Venmo后来解决了这些问题。
私人时间许多Venmo用户(如果不是大多数的话)似乎希望得到更大的隐私保护。2018年Mozilla-Ispsos的一项民意调查发现,77%的美国人反对金融应用程序的默认公开设置。同年,Mozilla提交了一份有2.5万个签名的请愿书,要求Venmo更改设置。
“以前的工作已经非常清楚地表明,用户不希望公开违约,”他说Gennie Gebhart他是旧金山电子前沿基金会(Electronic Frontier Foundation)的行动主义主管。Mozilla和益普索(Ipsos)进行了一项民意调查,结果非常明确,美国用户认为支付信息不应该默认公开。这些都符合常识。”
不过,Venmo坚决拒绝更改默认设置。
2018年,该公司的一位发言人告诉CNET,“我们默认将其(公开),因为在社交世界中与朋友分享(信息)很有趣。人们打开Venmo看看家人和朋友在做什么。”
格哈特说,该公司可能正在犯一个错误。社交功能可能会让Venmo区别于其他流行的替代品,但随着越来越多的用户(包括美国的总统),这种区别正变得越来越消极!-在这里了解Venmo的失败。”
Venmo还坚称,用户可以相对容易地将自己的支付记录和好友列表保密。
然而,情况并非总是如此。想想当Venmo安装在用户的手机上;如果用户同意,应用程序可以从手机下载用户的完整联系人列表。Venmo会自动将这些联系人添加为好友。这对用户隐私造成了很大的影响,因为任何登录的人都可以抓取Venmo,为任何注册用户建立一个电话公共联系人列表。
2018年,贝宝与联邦贸易委员会部分原因是Venmo的设置令人困惑。联邦贸易委员会在诉状中指控,这款金融应用“在他们可以控制交易隐私的程度上误导了消费者”。
Mirkovic、Tandon和Charnsethikul仍然希望与Venmo的高管会面,进行广泛的讨论。研究人员在研究报告中写道:“因此,我们鼓励Venmo和其他社交平台主动与研究人员合作,共同制定更好的保护隐私的政策。”
与此同时,米尔科维奇强烈推荐这款移动社交支付应用的数百万粉丝。
“在Venmo上上市没有真正的好处,”她说。“用户应该把一切都保密,包括他们的朋友名单。”
出版于2022年4月20日
最后更新于2022年6月15日
