Уязвимость Partiful: данные пользователей под угрозой

Partiful — популярное приложение для организации мероприятий, которое позиционирует себя как современную альтернативу Facebook Events. Однако у платформы обнаружилась серьёзная проблема с безопасностью.

Приложение позволяет создавать стильные интерактивные приглашения и быстро собирать гостей на события. Благодаря удобству и модному дизайну Partiful заняло 9 место в топе iOS в категории «Образ жизни» и было названо Google лучшим приложением 2024 года.

Со временем Partiful превратился в мощную социальную сеть, которая собирает детальную информацию о пользователях: их друзьях, местах посещения, занятиях и контактных данных.

Некоторые пользователи выразили обеспокоенность происхождением создателей приложения. Основатели и часть команды ранее работали в Palantir — компании Питера Тиля, известной разработкой ПО для сбора данных.

В ходе тестирования выяснилось, что Partiful не удаляет метаданные из загружаемых фотографий. Это означает, что любой человек с помощью инструментов разработчика может получить доступ к координатам места, где был сделан снимок.

Цифровые файлы содержат метаданные, включая точные геокоординаты. Обычно платформы автоматически удаляют эту информацию при загрузке, но Partiful этого не делал.

Проблема особенно опасна для фото, сделанных в частных местах — например, дома или на работе. В сельской местности координаты могут точно указывать на конкретное здание.

Для проверки уязвимости была загружена фотография с включёнными геотегами. После загрузки метаданные остались доступны, включая точные координаты места съёмки.

После уведомления основателей Partiful оперативно исправили проблему. Метаданные были удалены из всех загруженных фотографий, включая тестовые.

Компания заявила, что уязвимость уже была в планах исправления. Представитель Partiful отметил, что проводятся регулярные проверки безопасности, но отказался назвать конкретных экспертов.

Приложение привлекло более 27 миллионов долларов инвестиций, включая раунд финансирования Series A от Andreessen Horowitz. Основатели отказались комментировать, проводилась ли независимая проверка безопасности перед запуском.