Кто ваши друзья, говорит многое о вас.И в нашем все более цифровом мире общественное знание того, кто они, может стать для вас основным риском для безопасности. Venmo, популярное американское приложение для мобильных платежей, принадлежащее PayPal, позволяет пользователю синхронизировать контакты со своих телефонов непосредственно в приложение как «друзья». Эти друзья затем заполняют «Список друзей» пользователя в приложении, позволяя пользователю легко совершать транзакции со своими существующими контактами, не запрашивая их счета Venmo.Хотя это может показаться обычным и удобным для приложений для импорта контактов с вашего телефона, аспект социальных сетей Venmo делает эту функцию опасной, потому что ваш список друзей, то есть все ваши контакты, по умолчанию является публичным, а также ваши транзакции. the recent scandal of US national security adviser Michael Waltz’s exposed Venmo Friends List Вот как исследовательские журналисты Wired Дхрув Мехрота и Тим Марчман открыли список друзей Валца.Поскольку он оставил его публичным, весь мир теперь знает его телефонную книгу, включая его высокопоставленных коллег, таких как начальник штаба Белого дома Сьюзи Уайлс и личные контакты, такие как врачи и агенты по недвижимости. Мехрота и Марчман раскрывают опасность дефолтов конфиденциальности такой функции, как список друзей Венмо: делая отношения публичными и видимыми, эти платформы «Паттерны, точки давления, или путь в» «Потенциально [предоставить] противникам поисковую карту людей вокруг власти». «Паттерны, точки давления, или путь в» «Потенциально [предоставить] противникам поисковую карту людей вокруг власти». Самое тревожное, однако, то, что список друзей Уолца не был раскрыт высокотехнологичными хакерами, а был раскрыт журналистами Wired, которые просто использовали функцию врожденного поиска в Venmo. Это означает, что я, вы и средний Джо могут делать тот же тип расследования (или глубокое преследование) с нашими собственными учетными записями Venmo на публичных списках друзей других людей из-за плохих вариантов дизайна UIUX приложения и настройки конфиденциальности по умолчанию. Ключевым методом обнаружения отпечатков данных является цифровой форензический анализ продукта. Другими словами, цифровая криминология помогает нам понять, какие цифровые доказательства оставляют цифровые и электронные продукты.Хотя чаще всего используется правоохранительными органами и в корпоративных инцидентах, цифровая криминология может быть ценным инструментом для команд продуктов для выявления слепых точек безопасности и конфиденциальности, таких как по умолчанию список друзей Venmo как публичный. «Это отрасль судебно-медицинской науки, которая фокусируется на выявлении, приобретении, обработке, анализе и отчетности о данных, хранящихся в электронном виде». «Это отрасль судебно-медицинской науки, которая фокусируется на выявлении, приобретении, обработке, анализе и отчетности о данных, хранящихся в электронном виде». В свете этого инцидента я вернулся к белой книге, о которой я писал. для моего курса по кибербезопасности в университете. В моем анализе я обнаружил типы данных, хранящихся Venmo, и где они хранятся в iPhone пользователя. Возьмем, например, функцию Список друзей. Журналисты-расследователи с проводной связью смогли найти имена и их учетные записи Venmo в Списке друзей Уолца в интерфейсе. Однако есть гораздо больше данных из функции Список друзей, которые будут храниться в телефоне любого пользователя. Я нашел списки телефонов друзей, друзей, с которыми пользователь чаще всего ведет транзакции, и даже учетные записи, которые не являются друзьями пользователя, но имеют историю транзакций с пользователем. Хлебные крошки, оставшиеся позади, достаточно для того, чтобы собрать, кто есть контакты пользователя, Venmo вернется к цифровой криминалистике в 2021 году Venmo вернется к цифровой криминалистике в 2021 году Охлаждающее, не так ли, для незнакомца, чтобы узнать так много о вас только из вашего Venmo. Они призывали Venmo 1) сделать транзакции частными по умолчанию и 2) предоставить пользователям настройки конфиденциальности для своего списка друзей. Venmo сознательно ставит своих пользователей под угрозу в течение двух лет, и даже сейчас, шесть лет спустя, компания все еще не делает транзакции и список друзей частными по умолчанию. Venmo была осведомлена о рисках безопасности, связанных с раскрытием транзакций пользователей и списка друзей в 2019 году через открытое письмо Mozilla и Electronic Frontier Foundation (EFF). Только до 2021 года, когда BuzzFeed News раскрыл, насколько легко было найти бывшего президента Джо Байдена в приложении, Venmo наконец-то дал пользователям возможность скрыть список друзей, соблюдая только пункт 2 в открытом письме. Venmo была осведомлена о рисках безопасности, связанных с раскрытием транзакций пользователей и списка друзей в 2019 году через открытое письмо Mozilla и Electronic Frontier Foundation (EFF). Только до 2021 года, когда BuzzFeed News раскрыл, насколько легко было найти бывшего президента Джо Байдена в приложении, Venmo наконец-то дал пользователям возможность скрыть список друзей, соблюдая только пункт 2 в открытом письме. Это приведет к тому, что потребители потеряют доверие к цифровым продуктам, которые они используют ежедневно, и отвлекут их от тех продуктов и компаний, которые не уважают и не защищают безопасность и конфиденциальность своих пользователей. «Неуважение Venmo к конфиденциальности своих пользователей» «Неуважение Venmo к конфиденциальности своих пользователей» Именно поэтому командам продуктов необходимо рассматривать конфиденциальность как бизнес-стратегию, а не обязательство соблюдать требования.Кори Мунчбах, генеральный директор платформы данных о клиентах BlueConic, утверждает, что Она понимает, что конфиденциальность является «движущей силой для завоевания доверия потребителей» и даже дифференциатором бренда. «Бренды, которые отдают приоритет конфиденциальности сегодня, получат лояльность клиентов завтра». «Бренды, которые отдают приоритет конфиденциальности сегодня, получат лояльность клиентов завтра». Чтобы прочитать полную книгу Venmo iOS Forensics White Paper, которую я написал в 2021 году для моего курса iOS Digital Forensics в Университете Южной Калифорнии (USC), нажмите . здесь здесь
