Запуск мероприятия Partiful не удалял GPS-координаты из загруженных пользователями фотографий

Приложение для планирования мероприятий Partiful, позиционирующее себя как «Facebook-мероприятия для горячих людей», прочно вытеснило Facebook с позиции платформы для рассылки приглашений на вечеринки. Но у Partiful и Facebook есть ещё одна общая черта: оно собирает огромное количество пользовательских данных, и Partiful мог бы лучше обеспечить их безопасность.

В Partiful организаторы могут создавать онлайн-приглашения в ретро-стиле, максималистичном стиле, позволяя гостям подтвердить своё участие в мероприятии так же легко, как заказать салат на сенсорном экране. Partiful стремится быть удобным и модным, что позволило приложению занять 9-е место в рейтинге приложений для жизни в App Store для iOS. Google назвал Partiful «лучшим приложением» 2024 года.

Теперь Partiful превратился в мощный социальный граф, подобный Facebook, с легкостью отображающий, кто ваши друзья и друзья ваших друзей, чем вы занимаетесь, куда ходите и все ваши номера телефонов.

По мере роста популярности Partiful некоторые пользователи стали скептически относиться к происхождению компании. Один из нью-йоркских промоутеров объявил, что бойкотирует Partiful, поскольку её основатели и некоторые сотрудники являются бывшими сотрудниками Palantir, компании Питера Тиля, занимающейся сбором данных и разработкой программного обеспечения, на котором базируется главная база данных ICE, используемая администрацией Трампа для борьбы с депортациями.

Учитывая слухи, связанные с приложением, TechCrunch создал новую учётную запись и протестировал Partiful. Вскоре мы обнаружили, что приложение не удаляет данные о местоположении из загружаемых пользователями изображений, включая фотографии в публичном профиле.

TechCrunch обнаружил, что любой желающий, используя только инструменты разработчика в веб-браузере, может получить доступ к необработанным фотографиям профиля пользователя, хранящимся в базе данных Partiful, размещенной в Google Firebase. Если на фотографии пользователя указано точное место съемки, любой другой человек также может увидеть точные координаты этого места.

Практически все цифровые файлы, например, фотографии, сделанные на смартфон, содержат метаданные, включая информацию о размере файла, времени и авторе. В случае фотографий и видео метаданные могут включать информацию о типе использованной камеры и её настройках, а также точные координаты широты и долготы места съёмки.

Эта уязвимость безопасности представляет собой проблему, поскольку любой пользователь Partiful мог раскрыть место, где была сделана фотография профиля пользователя. Некоторые фотографии профиля пользователя Partiful содержали очень подробные данные о местоположении, которые можно было использовать для определения места жительства или работы пользователя, особенно в сельской местности, где отдельные дома легче различить на карте.

Компании, размещающие пользовательские изображения и видео, обычно автоматически удаляют метаданные при загрузке, чтобы предотвратить подобные нарушения конфиденциальности.

TechCrunch самостоятельно подтвердил наличие ошибки, загрузив новую фотографию профиля Partiful, сделанную нами ранее возле конференц-центра Moscone West в Сан-Франциско, на которой было указано точное место съёмки. Когда мы проверили метаданные фотографии, хранящиеся на сервере Partiful, мы обнаружили, что она сохранила точные координаты места съёмки с точностью до нескольких футов.

Обнаружив уязвимость безопасности, TechCrunch уведомил об этом по электронной почте соучредителей Partiful Шрею Мурти и Джой Тао, поскольку у Partiful нет общедоступного способа сообщить об уязвимостях безопасности. TechCrunch поделился ссылкой на необработанную фотографию профиля пользователя Partiful, на которой указано его реальное местоположение на момент съёмки — адрес проживания на Манхэттене.

В пятницу Тао сообщил TechCrunch, что уязвимость «уже находится на радаре нашей команды, и ее исправление недавно было приоритетным».

Первоначально Partiful указала срок исправления уязвимости — «на следующей неделе», но, учитывая конфиденциальность данных, Partiful исправила ошибку к субботе по просьбе TechCrunch.

В субботу TechCrunch подтвердил, что метаданные были удалены из существующих фотографий, загруженных пользователями. С фотографии профиля, которую мы загрузили с указанием нашего реального местоположения, метаданные также были удалены.

Partiful раскрыл уязвимость системы безопасности в своем твите незадолго до публикации этой истории.

На вопрос TechCrunch, располагает ли Partiful техническими средствами, такими как журналы регистрации, чтобы определить, был ли прямой или массовый доступ к фотографиям профилей пользователей, хранящимся в ее базе данных, представитель Partiful Джесс Имс ответила, что «этот вопрос все еще расследуется, но мы пока не нашли никаких доказательств».

Имс заявил, что компания «регулярно проводит проверки безопасности с привлечением экспертов в этой области, и это не разовая акция, а часть наших текущих процессов». В ответ на запрос TechCrunch Партифул не назвал имена экспертов.

С момента своего основания в 2022 году Partiful привлекла более 27 миллионов долларов от инвесторов, включая раунд финансирования серии A на сумму 20 миллионов долларов, возглавляемый Andreessen Horowitz. TechCrunch спросил соучредителей Partiful, заказывали ли они проверку безопасности своего продукта перед запуском, но они отказались ответить.

Источник: techcrunch.com