Partiful, стремительно набирающее популярность приложение для планирования мероприятий, допустило серьёзную утечку приватных данных. До минувших выходных фотографии, загруженные пользователями в профили, сохраняли исходные метаданные, включая точные координаты места съёмки. Это позволяло любому технически подкованному человеку узнать домашний или рабочий адрес владельца снимка.
Сервис был основан в 2022 году бывшими инженерами Palantir Шрейей Мурти и Джой Тао. Он позволяет создавать страницы приглашений в стилистике раннего интернета и отслеживать подтверждения гостей. Partiful уже вошёл в десятку лучших приложений категории «Образ жизни» на iOS и получил награду «Лучшее приложение 2024 года» от Google. Но вместе с ростом популярности усилились и вопросы о том, как компания обращается с пользовательскими данными.
Опасения усилились после того, как некоторые пользователи напомнили о связях основателей с Palantir — фирмой, предоставлявшей аналитические системы для иммиграционных властей США. Один нью-йоркский промоутер даже объявил бойкот, заявив, что не хочет пользоваться сервисом, связанным с компаниями, участвующими в государственных программах слежки.
Журналисты TechCrunch, создав тестовый аккаунт, выяснили: фотографии на серверах Partiful, размещённых в Google Firebase, сохраняют исходные метаданные. В них содержались не только дата и устройство съёмки, но и координаты с точностью до нескольких метров. При помощи обычных инструментов браузера репортёры получили доступ к оригиналам файлов. Эксперимент с фотографией, сделанной у конференц-центра Moscone West в Сан-Франциско, подтвердил: координаты оставались в сохранённой версии. И это противоречит принятой в индустрии практике — удалению таких данных автоматически.
После обращения журналистов к основателям компании выяснилось, что у Partiful не было отдельного канала для сообщения о багах, поэтому контакт шёл напрямую по e-mail. В компании признали проблему, заявив, что она «уже на радаре команды» и что инженеры работают над исправлением. Изначально компания обещала устранить уязвимость в течение недели, но после настойчивых запросов ускорила процесс. К субботе фото пользователей были перепроцессированы, а тестовое изображение TechCrunch больше не содержало геоданных.
Накануне публикации компания разместила заявление в X, объявив, что проблема устранена. Представитель Partiful Джесс Эймс сообщила, что проводится внутренняя проверка на предмет возможного доступа к фото до исправления, но доказательств злоупотреблений пока не найдено. Она также отметила, что компания регулярно проводит внешние аудиты безопасности «с экспертами в этой области», однако отказалась раскрывать их названия или подтвердить, был ли такой аудит до публичного запуска продукта.
Ещё по теме:
- TSMC завершила пробное производство 2-нм чипов, опережая график
- Тейлор Свифт уличили в использовании ИИ в промо к альбому
- OpenAI представила AgentKit для создания и запуска ИИ-агентов
