La startup de eventos Shariful no estaba despojando las ubicaciones de GPS de las fotos suprasadas por los usuarios
La aplicación de planificación de eventos sociales, que se llama a sí misma “eventos de Facebook para personas calientes”, ha reemplazado firmemente a Facebook como la plataforma de referencia para enviar invitaciones de fiesta. Pero lo que es difícil también tiene en común con Facebook es que está recopilando un tsunami de datos de usuarios, y Shartiful podría haberlo hecho mejor para mantener esos datos seguros.
En parte, los anfitriones pueden crear invitaciones en línea con un ambiente retro y maximalista, lo que permite a los invitados confirmar su asistencia a eventos con la facilidad de pedir una ensalada en una pantalla táctil. Bartiful tiene como objetivo ser fácil de usar y moderno, impulsando la aplicación al #9 en las listas de estilo de vida de la App Store de iOS. Google llamó a Particiful the “mejor aplicación“De 2024.
Ahora, Bartiful se ha convertido en un poderoso gráfico social similar a Facebook, mapeando fácilmente quiénes son tus amigos y quiénes son los amigos de tus amigos, qué haces, a dónde vas y todos tus números de teléfono.
A medida que la parte más popular se hizo más popular, algunos usuarios se volvieron escépticos sobre los orígenes de la compañía. Un promotor de la ciudad de Nueva York anunció que era boicotting shating Porque sus fundadores y algunos empleados son ex empleados de PalantirPeter Thiel’s Data Mining Company, que produce el software que impulsa a Ice’s base de datos maestra para la administración Trump represión de deportación.
Dada algunas de las especulaciones sobre la aplicación, TechCrunch configuró una nueva cuenta y probó un breve. Pronto descubrimos que la aplicación no estaba despojando los datos de ubicación de las imágenes suprasadas por los usuarios, incluidas las fotos de perfil público.
TechCrunch descubrió que era posible para cualquier persona, utilizando solo las herramientas de desarrollador en un navegador web, para acceder a fotos de perfil de usuario sin procesar almacenadas en la base de datos de backend de Particiful alojada en Google Firebase. Si la foto del usuario contenía la ubicación precisa del mundo real de donde se tomó, cualquier otra persona también podría haber visto las coordenadas precisas de dónde se tomó esa foto.
Casi todos los archivos digitales, como las imágenes que toma en un teléfono inteligente, contienen metadatosque incluye información como el tamaño del archivo, cuando se creó y por quién. En el caso de fotos y videos, los metadatos pueden incluir información sobre el tipo de cámara utilizada y su configuración, así como las coordenadas precisas de latitud y longitud de dónde se capturó la imagen.
La falla de seguridad es problemática porque cualquier persona que use Shariful podría haber revelado la ubicación de dónde se tomó la foto de perfil de una persona. Algunas fotos de perfil de usuario reclutadas contenían datos de ubicación altamente granulares que podrían usarse para identificar el hogar o el trabajo de la persona, particularmente en áreas rurales donde las casas individuales son más fáciles de distinguir en un mapa.
Es una práctica común para las empresas que alojan imágenes y videos de los usuarios para eliminar automáticamente metadatos al cargar para evitar lapsos de privacidad como esta.
TechCrunch verificó el error al cargar una nueva foto de perfil de fragmento que habíamos capturado anteriormente desde fuera del Centro de Convenciones de Moscone West en San Francisco, que contenía la ubicación precisa de la foto. Cuando revisamos los metadatos de la foto almacenada en el servidor de Particiful, todavía contenía las coordenadas exactas de dónde se retiró la imagen a unos pocos pies.
Después de descubrir el defecto de seguridad, TechCrunch alertó a los bistrefundadores, Shreya Murthy y Joy Tao por correo electrónico, ya que Shariful no tiene un medio público para informar fallas de seguridad. TechCrunch compartió un enlace a la foto de perfil bruto de un usuario que contiene la ubicación del mundo real de ese usuario en el momento en que se tomó la foto, una dirección residencial en Manhattan.
Tao le dijo a TechCrunch el viernes que la vulnerabilidad “ya estaba en el radar de nuestro equipo, y recientemente fue priorizado como una próxima solución”.
Bartiful inicialmente proporcionó una línea de tiempo para corregir el defecto en “la próxima semana”, pero dada la sensibilidad de los datos involucrados, Shrecting el error se corrigió el sábado a solicitud de TechCrunch.
TechCrunch confirmó el sábado que los metadatos se eliminaron de las fotos existentes con soporte de usuarios. La foto de perfil que subimos con nuestra ubicación del mundo real también se eliminó los metadatos.
Particioso reveló el lapso de seguridad en un tweet Poco antes de la publicación de esta historia.
Cuando TechCrunch le preguntó si Breakiful tiene los medios técnicos, como los registros, para determinar si había algún acceso directo o masivo a las fotos de perfil de usuario almacenadas en su base de datos, el portavoz de la dificultad, Jess Eames, dijo que esto estaba “aún bajo investigación, pero aún no hemos encontrado evidencia de esto”.
Eames dijo que la compañía “realiza regularmente revisiones de seguridad con expertos en el campo, no solo como una acción única sino como parte de nuestros procesos en curso”. Bartiful no proporcionó a TechCrunch el nombre de los expertos cuando se les pidió.
Particiful ha recaudado más de $ 27 millones de los inversores desde su fundación en 2022, incluida una ronda de financiación de la Serie A de $ 20 millones dirigida por Andreessen Horowitz. TechCrunch preguntó a los cofundadores de Particiful si habían encargado una revisión de seguridad de su producto antes del lanzamiento, pero no lo dirían.
