Чому стартап Partiful не збирав GPS-дані з фотографій користувачів: важливість конфіденційності в епоху цифрової трансформації
Додаток для планування соціальних подій Partiful, що позиціонує себе як «Facebook для стильних людей», став популярнішою альтернативою Facebook для надсилання запрошень на вечірки. Однак, разом із зростанням популярності, виникають питання щодо безпеки обробки даних користувачів, адже Partiful не зміг належним чином захистити конфіденційну інформацію.
Partiful дозволяє організаторам легко створювати сучасні запрошення у вінтажному стилі. Гості можуть з легкістю підтвердити участь, що дозволяє зробити процес організації вечірок ще зручнішим. Додаток піднявся до 9-го місця у рейтингах Lifestyle App Store на iOS, і Google визнав його «найкращим додатком 2024 року».
З розвитком Partiful додаток перетворився на потужну соціальну мережу, що надає можливість побачити зв’язки між друзями, їхньою діяльністю та місцями перебування. Однак збільшена популярність викликала підозру у користувачів щодо походження компанії. Один з організаторів вечірок у Нью-Йорку навіть оголосив бойкот Partiful через зв’язки засновників з Palantir, відомою компанією, що займається обробкою даних.
На фоні таких занепокоєнь, TechCrunch вирішив протестувати додаток. Під час тестування з’ясувалося, що Partiful не видаляє метадані з завантажених користувачами зображень, включаючи профільні фото. Завдяки простим інструментам веб-браузера, будь-хто міг отримати доступ до фото користувачів, зберігаючи у базі даних Partiful на Google Firebase.
Кожен цифровий файл, зокрема фотографії, містить метадані, які включають різноманітну інформацію про момент створення, налаштування камери та точні координати місця зйомки. В такій ситуації спостерігається серйозна вразливість, адже деталі, що могли б вказати на адресу проживання або робоче місце користувача, можуть бути легко доступні. Це особливо критично в сільських районах, де розпізнати окремі будинки простіше.
Зазвичай, рішення для зберігання користувацьких зображень видаляють метадані автоматично для запобігання подібних проблем. TechCrunch підтвердив цю вразливість, завантаживши профільне фото, яке містило точну інформацію про його місцезнаходження. Під час перевірки метаданих у фото на сервері Partiful, вони залишалися незмінними та точними.
Після виявлення вразливості, TechCrunch зв’язався з співзасновниками Partiful, оскільки платформа не має публічного способу для повідомлення про проблеми безпеки. Координатор Partiful підтвердив, що уразливість вже перебуває у полі зору команди і є пріоритетним завданням для виправлення.
Першочергово Partiful обіцяв виправити проблему на наступному тижні, проте через серйозність ситуації TechCrunch наполіг на термінах виправлення до кінця тижня. В результаті, команда Partiful повідомила про усунення вразливості вже в суботу. Тестування показало, що метадані були успішно видалені з усіх завантажених фото.
Partiful офіційно підтвердив цю інформацію в твіттері незадовго до публікації цієї статті. Коли TechCrunch поцікавилося, чи є у Partiful можливості перевірити доступ до особистих фотографій у їхній базі даних, представники компанії відповіли, що наразі це питання розслідується, але доказів порушень не виявлено.
З моменту свого заснування в 2022 році, Partiful залучив понад 27 мільйонів доларів інвестицій, включаючи 20 мільйонів у рамках серії A від Andreessen Horowitz. Проте на питання про попередні перевірки безпеки продукту компанія відмовилася надати конкретну інформацію.
