Kto sú vaši priatelia, hovorí o vás veľa.A v našom čoraz viac digitálnom svete môže verejné poznanie toho, kto sú, predstavovať pre vás veľké bezpečnostné riziko. Venmo, populárna americká mobilná platobná aplikácia vlastnená spoločnosťou PayPal, umožňuje používateľovi synchronizovať kontakty zo svojich telefónov priamo do aplikácie ako „priatelia“. Títo priatelia potom populujú užívateľský „Zoznam priateľov“ v rámci aplikácie, čo umožňuje používateľovi ľahko obchodovať so svojimi existujúcimi kontaktmi bez toho, aby požiadal o ich účty Venmo.Zatiaľ čo sa môže zdať bežné a užívateľsky prívetivé pre aplikácie na import kontaktov z telefónu, aspekt sociálnych médií spoločnosti Venmo robí túto funkciu nebezpečnou, pretože váš zoznam priateľov, t.j. všetky vaše kontakty, je predvolene verejný, rovnako ako vaše transakcie. the recent scandal of US national security adviser Michael Waltz’s exposed Venmo Friends List Takto vyšetrovací novinári spoločnosti Wired Dhruv Mehrota a Tim Marchman objavili Waltzov zoznam priateľov Venmo. Keďže ho opustil ako verejný, celý svet teraz pozná jeho telefónnu knihu, vrátane jeho vysokopriateľských kolegov, ako je šéfka štábu Bieleho domu Susie Wilesová a osobné kontakty, ako sú lekári a realitní agenti. Tieto vystavené vzťahy, najmä osobné, sú Mehrota a Marchman vysvetľujú nebezpečenstvo zlyhania súkromia funkcie, ako je zoznam priateľov spoločnosti Venmo: tým, že robia vzťahy verejnými a viditeľnými, tieto platformy „Vzorky, tlakové body alebo cesta dovnútra“ "Potenciálne [dať] protivníkom vyhľadateľnú mapu ľudí okolo moci." „Vzorky, tlakové body alebo cesta dovnútra“ "Potenciálne [dať] protivníkom vyhľadateľnú mapu ľudí okolo moci." Čo je však najviac alarmujúce, je to, že Waltzov zoznam priateľov nebol vystavený vysoko technickým hackerom, ale bol odhalený novinármi Wired, ktorí jednoducho používali funkciu natívneho vyhľadávania vo Venmo. Znamená to, že ja, vy a priemerný Joe môžeme robiť rovnaký typ vyšetrovania (alebo hlboké sledovanie) s našimi vlastnými účtami Venmo na verejných zoznamoch priateľov iných ľudí kvôli zlému výberu dizajnu UIUX aplikácie a predvoleným nastavením ochrany osobných údajov. Kľúčovou metódou na odhalenie dátovej stopy je digitálna forenzná analýza produktu. Inými slovami, digitálna forenzika nám pomáha pochopiť, aké digitálne dôkazy zanechávajú digitálne a elektronické produkty.Hoci najčastejšie používajú orgány činné v trestnom konaní a v reakcii na firemné incidenty, digitálna forenzika môže byť cenným nástrojom pre tímy produktov na identifikáciu bezpečnostných a súkromných slepých miest, ako je predvolený zoznam priateľov spoločnosti Venmo ako verejný. “is a branch of forensic science that focuses on identifying, acquiring, processing, analysing, and reporting on data stored electronically.” "je vetva forenzných vied, ktorá sa zameriava na identifikáciu, získavanie, spracovanie, analýzu a nahlasovanie údajov uložených elektronicky." Vo svetle tohto incidentu som sa vrátil k bielej knihe, o ktorej som písal. pre môj kurz kybernetickej bezpečnosti na univerzite. Vo svojej analýze som objavil typy údajov uložených spoločnosťou Venmo a kde boli uložené v telefóne používateľa. Vezmite si napríklad funkciu zoznam priateľov. Živé vyšetrovacie novinári boli schopní nájsť mená a ich účty Venmo v zozname priateľov spoločnosti Waltz v rámci užívateľského rozhrania. Avšak existuje oveľa viac údajov z funkcie zoznamu priateľov, ktoré by boli uložené v telefóne akéhokoľvek používateľa. Zistil som zoznamy telefónnych čísel priateľov, priateľov, s ktorými používateľ najčastejšie obchoduje, a dokonca aj účty, ktoré nie sú priateľmi používateľa, ale majú históriu transakcií s používateľom. Krupice chleba zostávajú dostatočné na to, aby Venmo's iOS Digital Forensics späť v roku 2021 Venmo's iOS Digital Forensics späť v roku 2021 Chladné, nie je to, že cudzinec sa o vás dozvie toľko len z vášho Venmo. Prosili Venmo, aby 1) privátne transakcie podľa predvoleného nastavenia a 2) poskytol používateľom nastavenia ochrany súkromia pre zoznam priateľov. Venmo vedome ohrozuje svojich používateľov dva roky, a dokonca aj teraz, šesť rokov neskôr, spoločnosť stále nemá, aby transakcie a zoznam priateľov súkromné predvolene. Venmo was made aware of the security risks of exposing users’ transactions and Friends List back in 2019 through an open letter by Mozilla and the Electronic Frontier Foundation (EFF) It was only until 2021 when BuzzFeed News revealed how easy it was to find former president Joe Biden on the app that Venmo finally gave users the option to hide Friends List, complying with only Point 2 in the open letter Venmo sa dozvedela o bezpečnostných rizikách vystavenia transakcií používateľov a zoznamu priateľov už v roku 2019 prostredníctvom otvoreného listu od spoločnosti Mozilla a nadácie Electronic Frontier Foundation (EFF). Až do roku 2021, keď BuzzFeed News odhalil, ako ľahké bolo nájsť bývalého prezidenta Joe Biden na aplikácii, Venmo konečne dal užívateľom možnosť skryť zoznam priateľov, dodržiavajúc iba bod 2 v otvorenom liste. Ako kritizujú Mozilla a EFF, spotrebitelia by stratili dôveru v digitálne produkty, ktoré používajú každý deň, a odvrátili by ich od týchto produktov a spoločností, ktoré nedokázali rešpektovať a chrániť bezpečnosť a súkromie svojich používateľov. „Venmo zanedbáva súkromie svojich používateľov“ „Venmo zanedbáva súkromie svojich používateľov“ To je dôvod, prečo musia tímy produktov vnímať súkromie ako obchodnú stratégiu, nie ako povinnosť dodržiavať predpisy.Cory Munchbach, generálny riaditeľ platformy BlueConic pre zákaznícke dáta, uvádza, že Chápe, že súkromie je „hnacou silou pre získanie dôvery spotrebiteľov“ a dokonca aj diferenciátorom značky.Zahrnutím súkromia do hodnotových návrhov môžu spoločnosti „previesť [súkromie] z rizika, ktoré treba riadiť, na hnaciu silu rastu“. Značky, ktoré dnes uprednostňujú súkromie, zajtra získajú lojalitu zákazníkov. Značky, ktoré dnes uprednostňujú súkromie, zajtra získajú lojalitu zákazníkov. Ak si chcete prečítať plnú knihu Venmo iOS Forensics White Paper, ktorú som napísal v roku 2021 pre môj kurz iOS Digital Forensics na University of Southern California (USC), kliknite na . tu tu
