Кои са вашите приятели казва много за вас.И в нашия все по-дигитален свят общественото знание за това кои са те може да бъде голям риск за сигурността за вас. Venmo, популярно американско приложение за мобилни плащания, притежавано от PayPal, позволява на потребителя да синхронизира контактите от телефоните си директно в приложението като „приятели“. Тези приятели след това популяризират потребителския „Списък с приятели“ в приложението, което позволява на потребителя лесно да извършва транзакции с съществуващите си контакти, без да пита за техните сметки Venmo. Докато може да изглежда често и леко за потребителя за приложения за внос на контакти от телефона ви, аспектът на социалните медии на Venmo прави тази функция опасна, защото вашият списък с приятели, т.е. всички ваши контакти, е по подразбиране публичен, както и вашите транзакции. the recent scandal of US national security adviser Michael Waltz’s exposed Venmo Friends List Това е начинът, по който разследващите журналисти на Wired Dhruv Mehrota и Tim Marchman откриха Waltz' Venmo Friends List. Тъй като той го беше оставил като публичен, целият свят сега знае телефонната му книга, включително неговите колеги с висок профил като началник на щаба на Белия дом Сузи Уайлс и лични контакти като лекари и агенти по недвижими имоти. Мехота и Маркман изричат опасността от дефекти в поверителността на функция като "Приятелски списък" на Венмо: като правят връзките публични и видими, тези платформи “Модели, точки на налягане, или начин в” "Потенциално [дават] на противниците търсена карта на хората около властта." “Модели, точки на налягане, или начин в” "Потенциално [дават] на противниците търсена карта на хората около властта." Най-тревожното обаче е, че Списъкът на приятелите на Уолц не е бил изложен от високо технически хакери, а е бил разкрит от журналистите на Wired, които просто са използвали функцията за вътрешно търсене в Venmo. Това означава, че аз, вие и средният Джо могат да направят същия вид разследване (или дълбоко преследване) с нашите собствени сметки на Venmo в публичните списъци на приятелите на други хора поради лошите UIUX дизайнерски възможности на приложението и настройките за поверителност по подразбиране. Ключовият метод за откриване на отпечатъка на данните е чрез анализ на цифровата криминология на продукта. Въпреки че най-често се използва от правоприлагащите органи и в отговор на корпоративни инциденти, цифровата форензика може да бъде ценен инструмент за продуктовите екипи за идентифициране на слепи точки за сигурност и поверителност, като например списъка с приятели по подразбиране на Venmo като публичен. “is a branch of forensic science that focuses on identifying, acquiring, processing, analysing, and reporting on data stored electronically.” "Това е клон на съдебномедицинската наука, която се фокусира върху идентифицирането, придобиването, обработката, анализа и докладването на данни, съхранявани по електронен път." В светлината на този инцидент, аз се върнах към бяла книга, която написах За моя университетски курс по киберсигурност. В моя анализ открих видовете данни, съхранявани от Venmo и къде са били съхранявани в iPhone на потребителя. Вземете например функцията "Приятелски списък". Свързани разследващи журналисти са били в състояние да намерят имената и техните сметки Venmo в списъка на приятелите на Waltz в UI. Въпреки това, има много повече данни от функцията "Приятелски списък", които биха били съхранявани в телефона на всеки потребител. Намерих списъци с телефонни номера на приятелите, приятелите, с които потребителят най-често се занимава, и дори акаунти, които не са приятели на потребителя, но имат история на транзакции с потребителя. Останалите хлябове са достатъчни, за да съберат Venmo's iOS Digital Forensics се завръща през 2021 г. Venmo's iOS Digital Forensics се завръща през 2021 г. Охлаждащо, не е ли това, за непознат да разбере толкова много за вас само от вашия Venmo. но може би това, което наистина ще изпрати охлаждането до гръбначния ви стълб, е, че Те призоваха Venmo 1) да направи транзакциите частни по подразбиране и 2) да даде на потребителите настройки за поверителност за своя списък с приятели. Venmo съзнателно поставя своите потребители на риск в продължение на две години, а дори и сега, шест години по-късно, компанията все още не е направила транзакции и списък с приятели частни по подразбиране. Venmo was made aware of the security risks of exposing users’ transactions and Friends List back in 2019 through an open letter by Mozilla and the Electronic Frontier Foundation (EFF) It was only until 2021 when BuzzFeed News revealed how easy it was to find former president Joe Biden on the app that Venmo finally gave users the option to hide Friends List, complying with only Point 2 in the open letter Venmo стана наясно с рисковете за сигурността, свързани с разкриването на транзакциите на потребителите и списъка с приятели през 2019 г. чрез отворено писмо от Mozilla и Electronic Frontier Foundation (EFF). Само до 2021 г., когато BuzzFeed News разкри колко лесно е да се намери бившият президент Джо Байдън в приложението, Venmo най-накрая даде на потребителите възможност да скрият списъка с приятели, спазвайки само точка 2 в отвореното писмо. , както се критикува от Mozilla и EFF, ще накара потребителите да загубят доверието си в цифровите продукти, които използват ежедневно, и ще ги отклони от тези продукти и компании, които не са уважавали и защитавали сигурността и поверителността на своите потребители. „Неуважение към поверителността на потребителите“ „Неуважение към поверителността на потребителите“ Ето защо продуктовите екипи трябва да разглеждат поверителността като бизнес стратегия, а не като задължение за съответствие.Кори Мънчбах, главен изпълнителен директор на платформата за данни за клиенти BlueConic, заявява, че Тя разбира, че неприкосновеността на личния живот е „двигателна сила за спечелване на доверието на потребителите“ и дори диференциатор на марката.Чрез включването на неприкосновеността на личния живот в предложенията за стойност, компаниите могат „да превърнат [приватността] от риск за управление в двигател на растежа“. „Брандовете, които поставят приоритет на неприкосновеността на личния живот днес, ще спечелят лоялност на клиентите утре.“ „Брандовете, които поставят приоритет на неприкосновеността на личния живот днес, ще спечелят лоялност на клиентите утре.“ За да прочетете пълната Venmo iOS Forensics White Paper, която написах през 2021 г. за моя курс по iOS Digital Forensics в Университета на Южна Калифорния (USC), кликнете . тук тук
