Acara startup sebagian tidak melucuti lokasi GPS dari foto yang diekspload pengguna

Aplikasi Perencanaan Acara Sosial Partiful, yang menyebut dirinya “acara Facebook untuk orang-orang panas,” telah dengan tegas menggantikan Facebook sebagai platform masuk untuk mengirim undangan pesta. Tetapi kesamaan yang sama dengan Facebook adalah bahwa ia mengumpulkan tsunami data pengguna, dan sebagian dapat melakukan lebih baik dalam menjaga data itu aman.

Di sebagian, host dapat membuat undangan online dengan getaran retro, maksimalis, memungkinkan tamu untuk RSVP ke acara dengan kemudahan memesan salad di layar sentuh. Bertujuan untuk menjadi ramah pengguna dan trendi, mendorong aplikasi ke #9 di grafik gaya hidup iOS App Store. Google menyebut sebagian itu “Aplikasi terbaik”Tahun 2024.

Sekarang, sebagian telah berevolusi menjadi grafik sosial seperti Facebook yang kuat, dengan mudah memetakan siapa teman Anda dan siapa teman teman Anda, apa yang Anda lakukan, ke mana Anda pergi, dan semua nomor telepon Anda.

Ketika sebagian tumbuh lebih populer, beberapa pengguna menjadi skeptis dengan asal -usul perusahaan. Seorang promotor Kota New York mengumumkan bahwa itu adalah memboikot sebagian karena pendiri dan beberapa stafnya mantan karyawan PalantirPerusahaan penambangan data Peter Thiel, yang menghasilkan perangkat lunak yang memberi kekuatan es Database Master untuk administrasi Trump Tindakan Deportasi.

Mengingat beberapa spekulasi di sekitar aplikasi, TechCrunch membuat akun baru dan diuji sebagian. Kami segera menemukan bahwa aplikasi ini tidak melucuti data lokasi gambar yang diunggah pengguna, termasuk foto profil publik.

TechCrunch menemukan bahwa itu mungkin bagi siapa pun, hanya menggunakan alat pengembang di browser web, untuk mengakses foto profil pengguna mentah yang disimpan dalam database backend yang dihosting di Google Firebase. Jika foto pengguna berisi lokasi dunia nyata yang tepat di mana ia diambil, orang lain juga bisa melihat koordinat yang tepat dari mana foto itu diambil.

Hampir semua file digital, seperti gambar yang Anda ambil di smartphone, berisi metadatayang mencakup informasi seperti ukuran file, saat dibuat, dan oleh siapa. Dalam hal foto dan video, metadata dapat menyertakan informasi tentang jenis kamera yang digunakan dan pengaturannya, serta koordinat garis lintang dan bujur yang tepat dari tempat gambar ditangkap.

Cacat keamanan bermasalah karena siapa pun yang menggunakan sebagian dapat mengungkapkan lokasi di mana foto profil seseorang tersentak. Beberapa foto profil pengguna yang sebagian berisi data lokasi yang sangat granular yang dapat digunakan untuk mengidentifikasi rumah atau pekerjaan orang tersebut, terutama di daerah pedesaan di mana masing -masing rumah lebih mudah dibedakan pada peta.

Ini adalah praktik umum bagi perusahaan yang meng -host gambar dan video pengguna untuk secara otomatis menghapus metadata setelah diunggah untuk mencegah penyimpangan privasi seperti ini.

TechCrunch memverifikasi bug sendiri dengan mengunggah foto profil baru yang telah kami ambil dari luar Moscone West Convention Center di San Francisco, yang berisi lokasi foto yang tepat. Ketika kami memeriksa metadata foto yang disimpan di server Partiful, itu masih berisi koordinat yang tepat di mana gambar itu diturunkan hingga beberapa kaki.

Setelah menemukan cacat keamanan, TechCrunch memberi tahu salah satu pendiri yang sebagian Shreya Murthy dan Joy Tao melalui email, karena sebagian tidak memiliki sarana publik untuk melaporkan kekurangan keamanan. TechCrunch membagikan tautan ke foto profil mentah pengguna yang memihak yang berisi lokasi dunia nyata yang pada saat foto diambil, alamat tempat tinggal di Manhattan.

Tao mengatakan kepada TechCrunch pada hari Jumat bahwa kerentanan itu “sudah ada di radar tim kami, dan baru -baru ini diprioritaskan sebagai perbaikan yang akan datang.”

Particul awalnya memberikan garis waktu untuk memperbaiki cacat pada “minggu depan,” tetapi mengingat sensitivitas data yang terlibat, sebagian memperbaiki bug pada hari Sabtu atas permintaan TechCrunch.

TechCrunch mengonfirmasi pada hari Sabtu bahwa metadata telah dihapus dari foto yang diunggah pengguna yang ada. Foto profil yang kami unggah dengan lokasi dunia nyata kami juga menghapus metadata.

PADA PADA PENGUNGKAPAN KEAMANAN KETEKATAN DALAM tweet sesaat sebelum penerbitan cerita ini.

Ketika ditanya oleh TechCrunch jika sebagian memiliki sarana teknis, seperti log, untuk menentukan apakah ada akses langsung atau curah ke foto profil pengguna yang disimpan dalam basis datanya, juru bicara yang sebagian Jess Eames mengatakan ini “masih dalam penyelidikan tetapi kami belum menemukan bukti tentang hal ini.”

Eames mengatakan perusahaan “secara teratur melakukan tinjauan keamanan dengan para ahli di lapangan, bukan hanya sebagai tindakan satu kali tetapi sebagai bagian dari proses berkelanjutan kami.” Penting tidak memberikan TechCrunch dengan nama para ahli ketika ditanya.

Partiful telah mengumpulkan lebih dari $ 27 juta dari investor sejak didirikan pada tahun 2022, termasuk putaran pendanaan Seri A $ 20 juta yang dipimpin oleh Andreessen Horowitz. TechCrunch bertanya kepada co-founder Partiful apakah mereka telah menugaskan tinjauan keamanan produk mereka sebelum diluncurkan, tetapi tidak akan mengatakannya.