Vem dina vänner är säger mycket om dig. Och i vår alltmer digitala värld kan allmänhetens kunskap om vem de är vara en stor säkerhetsrisk för dig. Venmo, en populär amerikansk mobil betalningsapp som ägs av PayPal, tillåter användaren att synkronisera kontakter från sina telefoner direkt till appen som "vänner". Dessa vänner fyller sedan användarens "Vännerlista" inom appen, så att användaren enkelt kan handla med sina befintliga kontakter utan att fråga om sina Venmo-konton. the recent scandal of US national security adviser Michael Waltz’s exposed Venmo Friends List Detta är hur Wired utredande journalister Dhruv Mehrota och Tim Marchman upptäckte Waltz' Venmo Friends List. Sedan han hade lämnat det som offentligt, känner hela världen nu hans telefonbok, inklusive hans högprofilerade kollegor som Vita husets chefschef Susie Wiles och personliga kontakter som läkare och fastighetsmäklare. Dessa exponerade relationer, särskilt de personliga, är Mehrota och Marchman uttalar risken för integritetsfel av en funktion som Venmos Vännerlista: genom att göra relationer offentliga och synliga, dessa plattformar ”Mönster, tryckpunkter eller ett sätt in” “potentially [give] adversaries a searchable map of the people around power.” ”Mönster, tryckpunkter eller ett sätt in” ”Potentiellt [ge] motståndare en sökbar karta över folket runt makten.” Det som är mest alarmerande är dock att Waltz Friends List inte exponerades av högtekniska hackare, utan avslöjades av Wired-journalisterna som helt enkelt använde den inhemska sökfunktionen i Venmo. Det betyder att jag, du och den genomsnittliga Joe kan göra samma typ av undersökning (eller djup förföljelse) med våra egna Venmo-konton på andra människors offentliga Friends Lists på grund av appens dåliga UIUX-designval och standard sekretessinställningar. Den viktigaste metoden för att upptäcka data fotavtryck är genom en digital forensik analys av produkten. Med andra ord hjälper digital forensik oss att förstå vilka digitala bevis som lämnas efter av digitala och elektroniska produkter.Även om de oftast används av brottsbekämpning och i företagsincidentrespons, kan digital forensik vara ett värdefullt verktyg för produktgrupper för att identifiera säkerhets- och integritetsblinda punkter, såsom Venmo: s standardlista över vänner som offentliga. "är en gren av rättsmedicinsk vetenskap som fokuserar på att identifiera, förvärva, bearbeta, analysera och rapportera om data som lagras elektroniskt." "är en gren av rättsmedicinsk vetenskap som fokuserar på att identifiera, förvärva, bearbeta, analysera och rapportera om data som lagras elektroniskt." I ljuset av denna händelse gick jag tillbaka till en vitbok som jag skrev om För min universitets cybersäkerhetskurs. I min analys upptäckte jag de typer av data som lagras av Venmo och var de lagras i en användares iPhone. Ta funktionen Friends List till exempel. Trådlösa utredande journalister kunde hitta namnen och deras Venmo-konton i Waltz Friends List inom användargränssnittet. Men det finns mycket mer data från funktionen Friends List som skulle lagras i en användares telefon. Jag hittade listor över telefonnummer till vännerna, de vänner som användaren oftast handlar med, och även konton som inte är användarens vänner men har transaktionshistorier med användaren. Brödkrummorna kvar är tillräckliga för att få ihop vem användarens kontakter är, hur man når dem, hur nära de är med användaren, vem som är i användarens perifera nätverk och vad användaren Venmos iOS Digital Forensics tillbaka 2021 Venmos iOS Digital Forensics tillbaka 2021 Chilling, är det inte det, för en främling att ta reda på så mycket om dig bara från din Venmo. De bad Venmo att 1) göra transaktioner privata som standard och 2) ge användare sekretessinställningar för sin vänlista. Venmo sätter medvetet sina användare i fara i två år, och även nu sex år senare har företaget fortfarande inte gjort transaktioner och vänner lista privat som standard. Venmo blev medveten om säkerhetsriskerna med att avslöja användarnas transaktioner och Friends List tillbaka i 2019 genom ett öppet brev från Mozilla och Electronic Frontier Foundation (EFF). It was only until 2021 when BuzzFeed News revealed how easy it was to find former president Joe Biden on the app that Venmo finally gave users the option to hide Friends List, complying with only Point 2 in the open letter Venmo blev medveten om säkerhetsriskerna med att avslöja användarnas transaktioner och Friends List tillbaka i 2019 genom ett öppet brev från Mozilla och Electronic Frontier Foundation (EFF). Det var inte förrän 2021 när BuzzFeed News avslöjade hur lätt det var att hitta före detta president Joe Biden på appen att Venmo äntligen gav användare möjlighet att dölja Vännerlista, följer endast punkt 2 i det öppna brevet. , som kritiseras av Mozilla och EFF, skulle göra att konsumenterna förlorar förtroendet för de digitala produkter de använder dagligen, och skulle vända dem bort från dessa produkter och företag som inte respekterade och skyddade sina användares säkerhet och integritet. ”Venmos försummelse av sina användares integritet” ”Venmos försummelse av sina användares integritet” Det är därför produktteamen behöver se integritet som en affärsstrategi, inte en skyldighet att följa reglerna.Cory Munchbach, VD för kunddataplattformen BlueConic, säger att Hon förstår att integritet är "en drivkraft för att tjäna konsumenternas förtroende" och till och med en varumärkesdifferentiator. "De varumärken som prioriterar integritet idag kommer att få kundlojalitet i morgon." "De varumärken som prioriterar integritet idag kommer att få kundlojalitet i morgon." För att läsa den fullständiga Venmo iOS Forensics White Paper jag skrev 2021 för min iOS Digital Forensics Course vid University of Southern California (USC), klicka . här här
