Vem dina vänner är säger mycket om dig. Och i vår alltmer digitala värld kan allmänhetens kunskap om vem de är vara en stor säkerhetsrisk för dig. the recent scandal of US national security adviser Michael Waltz’s exposed Venmo Friends List Venmo, en populär amerikansk mobil betalningsapp som ägs av PayPal, tillåter användaren att synkronisera kontakter från sina telefoner direkt till appen som "vänner". Dessa vänner fyller sedan användarens "Vännerlista" inom appen, så att användaren enkelt kan handla med sina befintliga kontakter utan att fråga om sina Venmo-konton.





Detta är hur Wired utredande journalister Dhruv Mehrota och Tim Marchman upptäckte Waltz' Venmo Friends List. Sedan han hade lämnat det som offentligt, känner hela världen nu hans telefonbok, inklusive hans högprofilerade kollegor som Vita husets chefschef Susie Wiles och personliga kontakter som läkare och fastighetsmäklare. Dessa exponerade relationer, särskilt de personliga, är ”Mönster, tryckpunkter eller ett sätt in” Mehrota och Marchman uttalar risken för integritetsfel av en funktion som Venmos Vännerlista: genom att göra relationer offentliga och synliga, dessa plattformar “potentially [give] adversaries a searchable map of the people around power.”





Det som är mest alarmerande är dock att Waltz Friends List inte exponerades av högtekniska hackare, utan avslöjades av Wired-journalisterna som helt enkelt använde den inhemska sökfunktionen i Venmo. Det betyder att jag, du och den genomsnittliga Joe kan göra samma typ av undersökning (eller djup förföljelse) med våra egna Venmo-konton på andra människors offentliga Friends Lists på grund av appens dåliga UIUX-designval och standard sekretessinställningar.





Den viktigaste metoden för att upptäcka data fotavtryck är genom en digital forensik analys av produkten. "är en gren av rättsmedicinsk vetenskap som fokuserar på att identifiera, förvärva, bearbeta, analysera och rapportera om data som lagras elektroniskt." Med andra ord hjälper digital forensik oss att förstå vilka digitala bevis som lämnas efter av digitala och elektroniska produkter.Även om de oftast används av brottsbekämpning och i företagsincidentrespons, kan digital forensik vara ett värdefullt verktyg för produktgrupper för att identifiera säkerhets- och integritetsblinda punkter, såsom Venmo: s standardlista över vänner som offentliga.





I ljuset av denna händelse gick jag tillbaka till en vitbok som jag skrev om Venmos iOS Digital Forensics tillbaka 2021 För min universitets cybersäkerhetskurs. I min analys upptäckte jag de typer av data som lagras av Venmo och var de lagras i en användares iPhone. Ta funktionen Friends List till exempel. Trådlösa utredande journalister kunde hitta namnen och deras Venmo-konton i Waltz Friends List inom användargränssnittet. Men det finns mycket mer data från funktionen Friends List som skulle lagras i en användares telefon. Jag hittade listor över telefonnummer till vännerna, de vänner som användaren oftast handlar med, och även konton som inte är användarens vänner men har transaktionshistorier med användaren. Brödkrummorna kvar är tillräckliga för att få ihop vem användarens kontakter är, hur man når dem, hur nära de är med användaren, vem som är i användarens perifera nätverk och vad användaren





Chilling, är det inte det, för en främling att ta reda på så mycket om dig bara från din Venmo. Venmo blev medveten om säkerhetsriskerna med att avslöja användarnas transaktioner och Friends List tillbaka i 2019 genom ett öppet brev från Mozilla och Electronic Frontier Foundation (EFF). De bad Venmo att 1) göra transaktioner privata som standard och 2) ge användare sekretessinställningar för sin vänlista. It was only until 2021 when BuzzFeed News revealed how easy it was to find former president Joe Biden on the app that Venmo finally gave users the option to hide Friends List, complying with only Point 2 in the open letter Venmo sätter medvetet sina användare i fara i två år, och även nu sex år senare har företaget fortfarande inte gjort transaktioner och vänner lista privat som standard.





”Venmos försummelse av sina användares integritet” , som kritiseras av Mozilla och EFF, skulle göra att konsumenterna förlorar förtroendet för de digitala produkter de använder dagligen, och skulle vända dem bort från dessa produkter och företag som inte respekterade och skyddade sina användares säkerhet och integritet.





Det är därför produktteamen behöver se integritet som en affärsstrategi, inte en skyldighet att följa reglerna.Cory Munchbach, VD för kunddataplattformen BlueConic, säger att "De varumärken som prioriterar integritet idag kommer att få kundlojalitet i morgon." Hon förstår att integritet är "en drivkraft för att tjäna konsumenternas förtroende" och till och med en varumärkesdifferentiator.