A inicialização do evento Partiful não estava tirando locais de GPS de fotos compradas pelo usuário

O aplicativo de planejamento de eventos sociais Partiful, que se chama de “eventos do Facebook para pessoas quentes”, substituiu firmemente o Facebook como a plataforma preferida para enviar convites para festas. Mas o que o Partiful também tem em comum com o Facebook é que ele está coletando um tsunami dos dados do usuário, e o Partiful poderia ter se saído melhor em manter esses dados seguros.

Em parte, os hosts podem criar convites on-line com uma vibração retro e maximalista, permitindo que os hóspedes confirmassem eventos com a facilidade de encomendar uma salada em uma tela de toque. A Partiful pretende ser fácil de usar e moderna, impulsionando o aplicativo para o número 9 nos gráficos de estilo de vida da IOS App Store. O Google chamou de parte do “melhor aplicativo” de 2024.

Agora, a Partiful evoluiu para um poderoso gráfico social semelhante ao Facebook, mapeando facilmente quem são seus amigos e quem são os amigos de seus amigos, o que você faz, para onde vai e todos os seus números de telefone.

À medida que a Partiful se tornou mais popular, alguns usuários se tornaram céticos quanto às origens da empresa. Um promotor da cidade de Nova York anunciou que era boicotando parte parcial Porque seus fundadores e alguns funcionários são ex -funcionários da PalantirPeter Thiel’s Data Mining Company, que produz o software que alimenta Banco de dados mestre para a repressão da deportação do governo Trump.

Dada algumas das especulações em torno do aplicativo, o TechCrunch criou uma nova conta e testou parte. Logo descobrimos que o aplicativo não estava retirando os dados de localização de imagens compradas pelo usuário, incluindo fotos de perfil público.

O TechCrunch descobriu que era possível para qualquer pessoa, usando apenas as ferramentas do desenvolvedor em um navegador da web, para acessar fotos de perfil de usuário bruto armazenadas no banco de dados de back -end da Partiful hospedado no Google Firebase. Se a foto do usuário contivesse a localização precisa do mundo real de onde foi tirada, qualquer outra pessoa também poderia ter visto as coordenadas precisas de onde essa foto foi tirada.

Quase todos os arquivos digitais, como as fotos que você tira em um smartphone, contêm metadados, que incluem informações como o tamanho do arquivo, quando foi criado e por quem. No caso de fotos e vídeos, os metadados podem incluir informações sobre o tipo de câmera usada e suas configurações, bem como as coordenadas precisas de latitude e longitude de onde a imagem foi capturada.

A falha de segurança é problemática porque qualquer pessoa que usa Partul poderia ter revelado a localização de onde a foto de perfil de uma pessoa foi tirada. Algumas fotos de perfil de usuário em parte continham dados de localização altamente granulares que poderiam ser usados ​​para identificar a casa ou o trabalho da pessoa, principalmente em áreas rurais onde as casas individuais são mais fáceis de distinguir em um mapa.

É prática comum para empresas que hospedam imagens e vídeos do usuário para remover automaticamente os metadados após o upload para impedir lapsos de privacidade como esse.

O TechCrunch verificou o bug, enviando uma nova foto de perfil partida que havíamos capturado anteriormente de fora do Moscone West Convention Center em San Francisco, que continha o local preciso da foto. Quando verificamos os metadados da foto armazenada no servidor da Partiful, ele ainda continha as coordenadas exatas de onde a imagem foi levada a alguns metros.

Depois de descobrir a falha de segurança, o TechCrunch alertou os co-fundadores Partify Shreya Murthy e Joy Tao por e-mail, pois a Partul não tem meios públicos para relatar falhas de segurança. O TechCrunch compartilhou um link para a foto de perfil bruto de um usuário parcial, contendo o local do mundo real do usuário no momento em que a foto foi tirada, um endereço residencial em Manhattan.

Tao disse ao TechCrunch na sexta -feira que a vulnerabilidade “já estava no radar de nossa equipe e foi recentemente priorizada como uma correção futura”.

A Partiful forneceu inicialmente uma linha do tempo para corrigir a falha na “próxima semana”, mas, dada a sensibilidade dos dados envolvidos, parte parcial corrigiu o bug até sábado a pedido da TechCrunch.

O TechCrunch confirmou no sábado que os metadados foram removidos das fotos existentes com o usuário. A foto do perfil que carregamos com nosso local no mundo real também teve os metadados removidos.

Parte parcial divulgou o lapso de segurança em um tweet Pouco antes da publicação desta história.

Quando perguntado pelo TechCrunch se Partiful tiver os meios técnicos, como toras, para determinar se havia algum acesso direto ou em massa às fotos de perfil de usuário armazenadas em seu banco de dados, o porta -voz da Partul, Jess Eames, disse que “ainda estava sob investigação, mas ainda não encontramos evidências disso”.

Eames disse que a empresa “realiza regularmente análises de segurança com especialistas no campo, não apenas como ação única, mas como parte de nossos processos em andamento”. Partiful não forneceu o TechCrunch com o nome dos especialistas quando solicitado.

A Partiful levantou mais de US $ 27 milhões dos investidores desde a sua fundação em 2022, incluindo uma rodada de financiamento da Série A de US $ 20 milhões, liderada por Andreessen Horowitz. A TechCrunch perguntou aos co-fundadores da Partiful se eles haviam encomendado uma revisão de segurança de seu produto antes do lançamento, mas não diria.