El evento de inicio de Partiful no estaba eliminando las ubicaciones GPS de las fotos subidas por los usuarios.
Créditos de la imagen: Getty Images
La aplicación de planificación de eventos sociales Partiful, que se llama a sí misma “Facebook eventos para personas atractivas,” ha reemplazado a Facebook como la plataforma preferida para enviar invitaciones a fiestas. Pero, al igual que Facebook, Partiful también está recopilando una avalancha de datos de usuario y podría haber hecho un mejor trabajo para mantener esa información segura.
En Partiful, los anfitriones pueden crear invitaciones en línea con un estilo retro y maximalista, permitiendo a los invitados confirmar su asistencia a los eventos con la facilidad de ordenar una ensalada en una pantalla táctil. Partiful se esfuerza por ser fácil de usar y trendy, lo que ha llevado a la aplicación al puesto #9 en las listas de la App Store de iOS en la categoría de Estilo de vida. Google llamó a Partiful la “mejor aplicación” de 2024.
Ahora, Partiful se ha convertido en una poderosa red social similar a Facebook, que puede mapear fácilmente quiénes son tus amigos y quiénes son los amigos de tus amigos, qué haces, a dónde vas y todos tus números de teléfono.
A medida que Partiful ganó popularidad, algunos usuarios comenzaron a cuestionar las raíces de la empresa. Un promotor de Nueva York anunció que estaba boycoteando Partiful porque sus fundadores y algunos empleados son exempleados de Palantir, la empresa de minería de datos de Peter Thiel, que produce el software que impulsa la base de datos maestra de ICE para el régimen de deportaciones de la administración Trump.
Dado el escepticismo que rodea la aplicación, TechCrunch creó una nueva cuenta y probó Partiful. Pronto encontramos que la aplicación no eliminaba los datos de ubicación de las imágenes subidas por los usuarios, incluidas las fotos de perfil públicas.
TechCrunch descubrió que era posible, utilizando solo las herramientas de desarrollo en un navegador web, acceder a las fotos de perfil de los usuarios almacenadas en la base de datos de Partiful en Google Firebase. Si la foto del usuario contenía la ubicación exacta del lugar donde se tomó, cualquier otra persona también podría haber visto las coordenadas exactas de donde se tomó la foto.
Casi todos los archivos digitales, como las fotos que tomas con un smartphone, contienen metadatos, que incluyen información como el tamaño del archivo, cuándo se creó y por quién. En el caso de las fotos y videos, los metadatos pueden incluir información sobre el tipo de cámara utilizada y sus configuraciones, así como las coordenadas de latitud y longitud exactas del lugar donde se capturó la imagen.
El fallo de seguridad es problemático porque cualquier persona que use Partiful podría haber revelado la ubicación del lugar donde se tomó la foto de perfil de alguien. Algunas fotos de perfil de usuarios de Partiful contenían datos de ubicación muy detallados que podrían haber sido utilizados para identificar la casa o el trabajo de la persona, especialmente en áreas rurales donde las casas individuales son más fáciles de distinguir en un mapa.
Es una práctica común para las empresas que alojan imágenes y videos de los usuarios eliminar automáticamente los metadatos al subirlos para evitar lapsos de privacidad como este.
TechCrunch verificó el bug nosotros mismos subiendo una nueva foto de perfil de Partiful que habíamos capturado anteriormente fuera del Centro de Convenciones Moscone West en San Francisco, que contenía la ubicación exacta de la foto. Cuando verificamos los metadatos de la foto almacenada en el servidor de Partiful, aún contenían las coordenadas exactas del lugar donde se tomó la imagen, con una precisión de unos pocos pies.
Foto de perfil de TechCrunch que contiene coordenadas GPS subida a Partiful.
La ubicación donde se tomó nuestra foto de perfil de Partiful en un mapa de Google.
Después de descubrir el fallo de seguridad, TechCrunch alertó a los cofundadores de Partiful, Shreya Murthy y Joy Tao, por correo electrónico, ya que Partiful no tiene un medio público para reportar fallos de seguridad. TechCrunch compartió un enlace a una foto de perfil de un usuario de Partiful que contenía la ubicación real del usuario en el momento en que se tomó la foto, una dirección residencial en Manhattan.
Tao le dijo a TechCrunch el viernes que la vulnerabilidad estaba “ya en la lista de tareas de nuestro equipo y se había priorizado como una corrección inminente.”
Partiful inicialmente proporcionó un cronograma para corregir el fallo “para la próxima semana,” pero, dado la sensibilidad de los datos involucrados, Partiful corrigió el bug el sábado a solicitud de TechCrunch.
TechCrunch confirmó el sábado que los metadatos se habían eliminado de las fotos subidas por los usuarios existentes. La foto de perfil que subimos con nuestra ubicación real también tuvo los metadatos eliminados.
Partiful reveló el desliz de seguridad en un tuit poco antes de la publicación de esta historia.
Cuando se le preguntó a TechCrunch si Partiful tiene los medios técnicos, como registros, para determinar si hubo un acceso directo o masivo a las fotos de perfil de los usuarios almacenadas en su base de datos, la portavoz de Partiful, Jess Eames, dijo que “está bajo investigación pero no hemos encontrado evidencia de esto hasta ahora.”
Eames dijo que la empresa “realiza revisiones de seguridad con expertos en el campo, no solo como una acción única, sino como parte de nuestros procesos continuos.” Partiful no proporcionó a TechCrunch el nombre de los expertos cuando se les preguntó.
Partiful ha recaudado más de $27 millones de inversores desde su fundación en 2022, incluyendo una ronda de financiación de $20 millones en serie A liderada por Andreessen Horowitz. TechCrunch preguntó a los cofundadores de Partiful si habían encargado una revisión de seguridad de su producto antes del lanzamiento, pero no lo hicieron.