Quiénes son tus amigos dicen mucho sobre ti. Y en nuestro mundo digital siempre más, el conocimiento público de quiénes son puede ser un riesgo de seguridad importante para usted. Este riesgo se ha destacado una vez más con El reciente escándalo de la lista de amigos de Venmo Exposse de Venmo Asesor de Seguridad Nacional de EE. UU.. Venmo, una fashionable aplicación de pago móvil estadounidense propiedad de PayPal, permite al usuario sincronizar contactos de sus teléfonos directamente a la aplicación como “amigos”. Luego, estos amigos pueblan la “lista de amigos” del usuario dentro de la aplicación, permitiendo que el usuario realice fácilmente transacciones con sus contactos existentes sin pedir sus cuentas de Venmo. Si bien puede parecer común y fácil de usar que las aplicaciones importen contactos desde su teléfono, el aspecto de las redes sociales de Venmo hace que esta función sea peligrosa porque sus amigos, es decir, todos sus contactos, es, por defecto, público y sus transacciones.
Así es como los periodistas de investigación Wired Dhruv Mehrota y Tim Marchman descubrieron la lista de amigos de Venmo de Waltz. Desde que lo había dejado como público, el mundo entero ahora conoce su guía telefónica, incluidos sus colegas de alto perfil, como la Jefe de Gabinete de la Casa Blanca, Susie Wiles y contactos personales, como médicos y agentes inmobiliarios. Estas relaciones expuestas, especialmente las personales, son las “Patrones, puntos de presión o una forma” que los espías buscan. Mehrota y Marchman deletrean el peligro de la privacidad predeterminados de una característica como la lista de amigos de Venmo: al hacer que las relaciones sean públicas y visibles, estas plataformas “potencialmente [give] Adversarios un mapa de búsqueda de las personas alrededor del poder “.
Sin embargo, lo más alarmante es que la lista de amigos de Waltz no fue expuesta por piratas informáticos altamente técnicos, sino que fueron revelados por los periodistas con cable que simplemente usaron la función de búsqueda nativa en Venmo. Es decir, yo, usted y el Joe promedio pueden hacer el mismo tipo de investigación (o acoso profundo) con nuestras propias cuentas de Venmo en las listas de amigos públicos de otras personas debido a las malas opciones de diseño de UIux de la aplicación y la configuración de privacidad predeterminada. Esta es exactamente la razón por la cual los equipos de productos deben preocuparse por la huella de datos dejada por un producto, para comprender qué relaciones o metadatos confidenciales se almacenan o muestran de forma predeterminada.
El método clave para descubrir la huella de datos es a través de un análisis forense digital del producto. Forense digital “Es una rama de la ciencia forense que se centra en identificar, adquirir, procesar, analizar e informar sobre los datos almacenados electrónicamente”. En otras palabras, el forense digital nos ayuda a comprender qué evidencia digital dejan los productos digitales y electrónicos. Aunque la aplicación de la ley y en la respuesta a incidentes corporativos utilizan con mayor frecuencia, los forenses digitales pueden ser una herramienta valiosa para que los equipos de productos identifiquen los puntos ciegos de seguridad y privacidad, como la lista de amigos predeterminados de Venmo como públicos.
A la luz de este incidente, volví a un libro blanco en el que escribí Venmo’s iOS Digital Forensics en 2021 para mi curso de ciberseguridad universitaria. En mi análisis, descubrí los tipos de datos almacenados por Venmo y dónde se almacenaron en el iPhone de un usuario. Tome la lista de amigos de características, por ejemplo. Los periodistas de investigación con cable pudieron encontrar los nombres y sus cuentas de Venmo en la lista de amigos de Waltz dentro de la interfaz de usuario. Sin embargo, hay muchos más datos de la función de la lista de amigos que se almacenarían en el teléfono de cualquier usuario. Encontré listas de números de teléfono de los amigos, los amigos con los que el usuario se realiza con mayor frecuencia, e incluso cuentas que no son amigos del usuario, pero tienen historial de transacciones con el usuario. Las migajas de pan que quedan atrás son suficientes para reconstruir quiénes son los contactos del usuario, cómo llegar a ellas, qué tan cerca están con el usuario, quién está en la purple periférica de los usuarios y qué le gusta comprar al usuario.
Enfrecido, ¿no es así a un extraño descubrir tanto sobre ti solo de tu Venmo? Pero quizás lo que realmente enviaría el frío por la columna es que Venmo se dio cuenta de los riesgos de seguridad de exponer las transacciones de los usuarios y la lista de amigos en 2019 a través de una carta abierta de Mozilla y Digital Frontier Basis (EFF). Pidieron que Venmo a 1) haga que las transacciones privadas de forma predeterminada, y 2) brinden la configuración de privacidad de los usuarios para su lista de amigos. La compañía, sin embargo, no hizo acciones inmediatas después de la carta abierta. Fue solo hasta 2021 cuando BuzzFeed Information reveló lo fácil que fue encontrar al ex presidente Joe Biden en la aplicación que Venmo finalmente dio a los usuarios la opción de ocultar la lista de amigos, cumpliendo solo con el punto 2 en la carta abierta. Venmo puso en riesgo a sus usuarios a sabiendas durante dos años, e incluso ahora seis años después, la compañía aún no ha hecho que las transacciones y los amigos sean privados por defecto.
“Venmo desprecio por la privacidad de sus usuarios”según lo criticado por Mozilla y EFF, haría que los consumidores pierdan confianza en los productos digitales que usan todos los días, y los alejarían de estos productos y compañías que no respetaron y protegen la seguridad y la privacidad de sus usuarios.
Es por eso que los equipos de productos necesitan ver la privacidad como una estrategia comercial, no una obligación de cumplimiento. Cory Munchbach, CEO de Buyer Knowledge Platform Blueconic, afirma que “[t]Las marcas que priorizan la privacidad hoy obtendrán lealtad del cliente mañana ”. Ella entiende que la privacidad es “una fuerza impulsora para ganar la confianza del consumidor” e incluso un diferenciador de marca. Al incorporar la privacidad en las propuestas de valor, las empresas pueden “cambiar [privacy] de un riesgo para ser manejado en un impulsor de crecimiento ”.
Para leer el Libro Blanco Full Venmo Venmo IOS, escribí en 2021 para mi curso de Forense Digital IOS en la Universidad del Sur de California (USC), haga clic aquí.
