Приложение Partiful: популярность и проблемы с безопасностью данных
Приложение Partiful, которое называет себя «Facebook для вечеринок», прочно заняло место платформы для отправки приглашений на мероприятия. Однако, как и Facebook, оно собирает огромное количество пользовательских данных, и с их защитой у Partiful есть проблемы.
С помощью Partiful организаторы могут создавать онлайн-приглашения в ретро-стиле, а гости могут отвечать на них с лёгкостью заказа салата через сенсорный экран. Приложение заняло 9-е место в рейтинге Lifestyle в App Store и было названо Google лучшим приложением 2024 года.
Сейчас Partiful превратилось в мощную социальную сеть, подобную Facebook, которая легко отображает, кто ваши друзья и друзья ваших друзей, чем вы занимаетесь, куда ходите и какие у вас номера телефонов.
По мере роста популярности Partiful некоторые пользователи стали сомневаться в происхождении компании. Один промоутер из Нью-Йорка объявил бойкот Partiful, потому что основатели и некоторые сотрудники ранее работали в Palantir — компании по добыче данных Питера Тиля, которая создаёт программное обеспечение для базы данных ICE, используемой администрацией Трампа для депортаций.
TechCrunch создал новую учётную запись и протестировал Partiful. Было обнаружено, что приложение не удаляет данные о местоположении из загружаемых пользователями изображений, включая фотографии в публичных профилях.
TechCrunch выяснил, что любой человек может получить доступ к необработанным фотографиям профилей пользователей, хранящимся в базе данных Partiful на Google Firebase, используя только инструменты разработчика в веб-браузере. Если на фотографии пользователя было указано точное местоположение, где она была сделана, любой другой человек также мог увидеть точные координаты этого места.
Почти все цифровые файлы, например фотографии, сделанные на смартфон, содержат метаданные, которые включают информацию о размере файла, времени и авторе создания. В случае фотографий и видео метаданные могут содержать информацию о типе камеры и её настройках, а также точные координаты широты и долготы, где был сделан снимок.
Уязвимость в области безопасности проблематична, поскольку любой пользователь Partiful мог раскрыть местоположение, где была сделана фотография профиля. Некоторые фотографии профилей Partiful содержали очень подробные данные о местоположении, которые можно было использовать для определения места жительства или работы человека, особенно в сельской местности, где отдельные дома легче отличить на карте.
Компании, которые размещают пользовательские изображения и видео, обычно автоматически удаляют метаданные при загрузке, чтобы предотвратить подобные нарушения конфиденциальности.
TechCrunch проверил наличие ошибки, загрузив в Partiful фотографию, сделанную возле Moscone West Convention Center в Сан-Франциско, которая содержала точные координаты местоположения. При проверке метаданных фотографии, хранящейся на сервере Partiful, выяснилось, что она всё ещё содержит точные координаты места съёмки с точностью до нескольких футов.
После обнаружения уязвимости TechCrunch уведомил соучредителей Partiful Шрею Мурти и Джой Тао по электронной почте, поскольку у Partiful нет публичных средств для сообщения об уязвимостях. TechCrunch предоставил ссылку на необработанную фотографию профиля пользователя Partiful, содержащую реальное местоположение пользователя в момент съёмки, — жилой адрес на Манхэттене.
Тао сообщила TechCrunch, что уязвимость уже была на радаре команды и недавно была определена как предстоящий фикс.
Сначала Partiful обозначила сроки устранения неполадки — «на следующей неделе», но, учитывая чувствительность данных, TechCrunch потребовал устранить проблему к пятнице. Partiful подтвердила, что устранила ошибку в субботу.
К субботе TechCrunch обнаружил, что метаданные были удалены из фотографий, загруженных пользователями. Метаданные с фотографии, которую TechCrunch загрузил с реальным местоположением, также были удалены.
Partiful сообщила об утечке безопасности в твите незадолго до публикации этой статьи.
На вопрос TechCrunch, есть ли у Partiful технические средства, например журналы, для определения, был ли прямой или массовый доступ к фотографиям профилей пользователей, хранящимся в базе данных, представитель Partiful Джесс Имс ответила, что это «всё ещё находится в стадии расследования, но пока никаких доказательств этого не обнаружено».
Имс сказала, что компания «регулярно проводит проверки безопасности с экспертами в этой области не как разовое действие, а как часть наших текущих процессов». Partiful не предоставила TechCrunch имена экспертов, когда её об этом попросили.
С момента основания в 2022 году Partiful привлекла более 27 миллионов долларов от инвесторов, включая 20 миллионов долларов в рамках раунда финансирования серии A под руководством Andreessen Horowitz. TechCrunch спросил соучредителей Partiful, заказывали ли они проверку безопасности своего продукта перед запуском, но они не ответили.