O Partiful, aplicativo de planejamento de eventos sociais de rápido crescimento que vem substituindo cada vez mais o Facebook entre os usuários mais jovens, deixou dados de localização sensíveis expostos nas fotos de perfil dos usuários até o último fim de semana. A falha permitia que qualquer pessoa com conhecimento técnico básico extraísse as coordenadas precisas de onde uma foto foi tirada, potencialmente revelando os endereços residenciais ou comerciais dos usuários.
Fundado em 2022 pelas ex-engenheiras da Palantir, Shreya Murthy e Joy Tao, o Partiful permite que anfitriões criem páginas de convite estilizadas com base na estética inicial da internet e acompanhem as confirmações de presença por meio da plataforma. O aplicativo agora está entre os 10 melhores na categoria Estilo de Vida do iOS, e o Google o nomeou o Melhor Aplicativo de 2024, consolidando ainda mais seu apelo popular. No entanto, com o aumento da popularidade da plataforma, surgiram questionamentos sobre suas práticas de dados – e a trajetória de seus fundadores.
Alguns usuários começaram a expressar preocupação no início deste ano, após descobrirem os vínculos da empresa com a Palantir, empresa de análise de dados conhecida por fornecer sistemas de dados para as autoridades de imigração dos EUA. Um promotor de festas em Nova York anunciou publicamente um boicote, alegando desconforto com as conexões do aplicativo com uma empresa associada à vigilância governamental.
O rápido crescimento do Partiful também o transformou de uma simples ferramenta de eventos em uma rede social com um gráfico de dados completo, conectando usuários por amizades e revelando onde e com quem eles passam o tempo. Essa ampla capacidade de mapeamento torna qualquer falha de segurança particularmente grave.
Quando o TechCrunch criou uma conta de teste para examinar o comportamento técnico do aplicativo, descobriu que as fotos de perfil enviadas para o Partiful mantinham seus metadados originais – informações incorporadas em quase todos os arquivos digitais, incluindo detalhes como o criador do arquivo, data e hora e localização. Em fotos tiradas com smartphones, isso geralmente inclui coordenadas de latitude e longitude com precisão de poucos metros.
O teste revelou que esses dados permaneceram intactos mesmo após o upload das imagens para os servidores da Partiful, hospedados na plataforma Firebase do Google. Usando as ferramentas de desenvolvedor de um navegador, os repórteres conseguiram acessar as fotos originais, sem modificações. Se um usuário tivesse enviado uma imagem tirada em casa, qualquer pessoa com conhecimento básico de internet poderia ter visualizado as informações de localização.
Para verificar o problema, o TechCrunch publicou uma foto sua tirada do lado de fora do Centro de Convenções Moscone West, em São Francisco; a versão armazenada no backend do Partiful ainda continha as coordenadas precisas do local. Isso contradizia a prática padrão do setor, já que plataformas como Instagram e TikTok removem automaticamente os metadados das imagens publicadas para evitar tais exposições de privacidade.
O TechCrunch contatou os fundadores da Partiful após confirmar a vulnerabilidade, enviando-lhes um link para uma foto que revelava a localização real de um endereço em Manhattan. Murthy e Tao não tinham um canal específico para relatar problemas de segurança, então o canal os contatou diretamente por e-mail.
Tao reconheceu o problema, afirmando que ele “já estava no radar da nossa equipe” e que os engenheiros priorizaram uma solução. A Partiful disse inicialmente que o problema seria resolvido em uma semana, mas, após o TechCrunch solicitar uma resposta mais rápida devido à sensibilidade dos dados, a empresa acelerou seus esforços. No sábado, a Partiful confirmou que as fotos dos usuários estavam sendo reprocessadas para remover os dados de localização, e o TechCrunch verificou que sua própria imagem de teste havia sido apagada dos metadados.
Pouco antes da publicação, o Partiful postou uma declaração no X anunciando que a falha havia sido corrigida.
Questionada se a empresa poderia determinar se alguém havia acessado ou baixado fotos de usuários antes do patch, a porta-voz Jess Eames afirmou que uma revisão interna estava em andamento, mas que nenhuma evidência de abuso havia sido encontrada até o momento. Ela acrescentou que a Partiful realiza revisões externas de segurança regulares “com especialistas na área”, embora a empresa tenha se recusado a nomear os especialistas ou confirmar se tal auditoria havia sido concluída antes do lançamento público do produto.
Fonte: www.techspot.com
Link da Fonte
