Venmo Didesak untuk Memperbaiki Aplikasi mereka dan Pasang Cacat Pembajakan Lama

• Mozilla dan EFF meminta PayPal untuk mempertimbangkan mengubah pengaturan Venmo yang merusak privasi mereka.
• Aplikasi ini telah berulang kali diekspos oleh para peneliti, karena API mengungkapkan banyak transaksi penggunanya.
• PayPal dapat mengubah pengaturan default dengan sangat mudah, tetapi karena alasan yang tidak diketahui, mereka tidak melakukannya.

Electronic Frontier Foundation dan Mozilla Foundation memiliki mengirim surat terbuka ke Venmo, mendesak mereka untuk akhirnya memasang lubang privasi yang telah mengganggu aplikasi sejak musim panas lalu. Mereka menyurati surat itu kepada pimpinan PayPal, karena Venmo adalah milik PayPal sejak 2013, meminta mereka untuk melakukan semua transaksi pengguna di Venmo secara pribadi. Selain itu, mereka menyarankan pengembang untuk menerapkan lebih banyak pengaturan terkait privasi dan menawarkan cara bagi pengguna untuk mengelola visibilitas daftar teman mereka. Kedua organisasi khawatir bahwa pengabaian Venmo terhadap privasi pengguna akan sangat merusak publik jika perusahaan berkembang, yang akan dilakukan.

Seperti yang kami laporkan pada Juli 2018, advokat privasi dan peneliti keamanan Mozilla Hang Do Thi Duc menemukan bahwa Venmo API merekam semua transaksi pengguna ke mode "Publik" secara default, sehingga siapa pun yang dapat mengakses API dapat melihat semua transaksi yang sedang berlangsung. Penemuan ini memicu penyelidikan yang mengungkapkan bahwa lebih dari 200 juta transaksi pengguna telah bocor pada tahun 2017 saja. Karena Venmo adalah aplikasi pembayaran seluler yang memungkinkan pengguna untuk mentransfer dana langsung dari perangkat seluler mereka, data yang bocor sangat sensitif.

Hampir setahun kemudian, pada Juni 2019, seorang mahasiswa ilmu komputer bernama Dan Salmon membuktikan bahwa masih mungkin untuk menghapus jutaan transaksi Venmo melalui API aplikasi. Alasan untuk ini adalah bahwa Venmo memang menawarkan kepada pengguna opsi untuk mengatur rekaman transaksi ke "Pribadi", tetapi mode "Publik" tetap menjadi pengaturan default, dan banyak pengguna tidak repot untuk mengubahnya. Dua bulan setelah buzz media yang dibuat oleh cerita ini, PayPal masih belum mengubah pengaturan perekaman default menjadi "Pribadi", sehingga sebagian besar transaksi pengguna tetap dapat diakses.

Sebagai Ashley Boyd dari Mozilla kata Motherboard mengenai masalah ini: “Sangat mengherankan bahwa terlepas dari adanya pelanggaran data di mana-mana, dan meskipun ada beberapa peneliti yang mengekspos kelemahan Venmo, aplikasi tersebut masih belum menjadikan transaksi pengguna bersifat pribadi secara default. Anda dapat menyimpulkan begitu banyak tentang seseorang dari umpan Venmo mereka: Siapa yang mereka kencani, di mana mereka makan, apa yang mereka bayar dalam sewa. Informasi itu seharusnya tidak boleh dipublikasikan tanpa pengguna secara eksplisit memutuskan untuk melakukannya. "

Jika Anda menggunakan Venmo, amankan privasi transaksi Anda dengan mengetuk "Pengaturan" di menu aplikasi, masuk ke bagian "Privasi", ketuk "Transaksi Lalu" dan kemudian pilih "Ubah Semua ke Pribadi". Ini akan mencakup semua transaksi di masa lalu, dan mengamankan yang akan terjadi di masa depan.

Apakah Anda menggunakan Venmo? Apakah Anda repot-repot mengubah pengaturan rekaman ke "pribadi"? Bagikan pemikiran Anda dengan kami di komentar di bawah, atau di acara sosial kami, pada Facebook dan Twitter.