Популярний додаток для організації вечірок Partiful, який позиціонує себе як «Facebook для гарячих людей», за короткий час став провідним сервісом для розсилки запрошень на події, випередивши Facebook за популярністю серед молоді. Проте, разом із зростанням популярності, з’явилися й питання до безпеки особистих даних користувачів.
Про це розповідає ProIT
Недоліки у захисті персональних даних
Виявилося, що Partiful не видаляв метадані з фото, які завантажували користувачі, зокрема GPS-координати. Це означало, що будь-хто, маючи базові знання роботи з браузерними інструментами розробника, міг отримати доступ до оригінальних зображень із серверів Partiful на платформі Google Firebase. Якщо у фото зберігалася інформація про точне місцезнаходження, інші користувачі могли дізнатися, де саме було зроблене це фото.
Ця уразливість особливо небезпечна, оскільки дозволяла стороннім особам легко ідентифікувати місце проживання чи роботи користувача, особливо у малонаселених районах, де окремі будинки добре видно на карті.
Реакція компанії та усунення проблеми
Зазвичай компанії, які зберігають фото та відео користувачів, автоматично видаляють метадані для запобігання подібних витоків. У випадку з Partiful ця практика не була реалізована до жовтня 2025 року. Після виявлення недоліків команда Partiful оперативно виправила помилку: спочатку компанія планувала усунути проблему протягом тижня, однак після звернення інформаторів баг був виправлений вже наступного дня. Метадані, зокрема координати, були видалені з усіх вже завантажених фото.
У компанії зазначили, що вразливість вже була відома технічній команді та перебувала у плані виправлень. Представниця Partiful, Джесс Еймс, повідомила, що наразі триває перевірка, чи була ця уразливість використана для масового отримання фотографій із метаданими, але поки що не виявлено доказів подібних дій.
“Ми регулярно проводимо перевірки безпеки із залученням експертів, і це є частиною наших постійних процесів, а не разовою акцією”, — підтвердила Джесс Еймс.
Partiful привернув увагу не тільки своєю стрімкою популярністю, а й тим, що серед його засновників і працівників є колишні співробітники Palantir — великої компанії з аналізу даних, яка розробляє програмне забезпечення для урядових структур США. Це викликало занепокоєння у частини користувачів через можливий вплив на приватність.
Додаток отримав понад 27 мільйонів доларів інвестицій із моменту заснування у 2022 році, включаючи 20 мільйонів доларів у раунді фінансування від Andreessen Horowitz. Однак компанія не надала уточнень, чи проводилася експертиза захисту даних до запуску продукту.
