Ứng dụng lập kế hoạch cho sự kiện xã hội Partiously, tự gọi mình là các sự kiện trên Facebook của Facebook dành cho những người nóng bỏng, đã thay thế vững chắc Facebook là nền tảng để gửi lời mời của bữa tiệc. Nhưng điểm chung cũng có điểm chung với Facebook là việc thu thập sóng thần dữ liệu người dùng và Partiously có thể đã làm tốt hơn trong việc giữ an toàn dữ liệu đó.
Trên Partiously, các máy chủ có thể tạo ra những lời mời trực tuyến với sự rung cảm retro, tối đa, cho phép khách đến RSVP đến các sự kiện với việc dễ dàng gọi món salad trên màn hình cảm ứng. PartitiousT nhằm mục đích thân thiện với người dùng và hợp thời trang, đẩy ứng dụng lên số 9 trên các biểu đồ lối sống của App Store. Google đã gọi Partiously là ứng dụng tốt nhất của người Hồi giáo năm 2024.
Bây giờ, Partiously đã phát triển thành một biểu đồ xã hội giống như Facebook mạnh mẽ, dễ dàng lập bản đồ bạn bè của bạn là ai và bạn bè của bạn là ai, bạn làm gì, nơi bạn đến và tất cả các số điện thoại của bạn.
Khi một phần phát triển phổ biến hơn, một số người dùng đã trở nên hoài nghi về nguồn gốc của công ty. Một nhà quảng bá thành phố New York tuyên bố rằng họ đã tẩy chay chia tay vì những người sáng lập và một số nhân viên là nhân viên cũ của Palantir, công ty khai thác dữ liệu của Peter Thiel, nơi sản xuất phần mềm cung cấp năng lượng cho cơ sở dữ liệu chính của ICE cho cuộc đàn áp trục xuất của chính quyền Trump.
Với một số suy đoán xung quanh ứng dụng, TechCrunch đã thiết lập một tài khoản mới và thử nghiệm Partiously. Chúng tôi sớm nhận thấy rằng ứng dụng không tước dữ liệu vị trí của hình ảnh do người dùng tải xuống, bao gồm cả ảnh hồ sơ công khai.
TechCrunch nhận thấy bất kỳ ai có thể, chỉ sử dụng các công cụ nhà phát triển trong trình duyệt web, để truy cập ảnh hồ sơ người dùng thô được lưu trữ trong cơ sở dữ liệu phụ trợ của Partiously được lưu trữ trên Google Firebase. Nếu ảnh của người dùng có chứa vị trí trong thế giới thực chính xác của nơi nó được chụp, bất kỳ ai khác cũng có thể xem tọa độ chính xác của nơi chụp ảnh đó.
Hầu như tất cả các tệp kỹ thuật số, như hình ảnh bạn chụp trên điện thoại thông minh, chứa siêu dữ liệu, bao gồm thông tin như kích thước tệp, khi nó được tạo và bởi ai. Trong trường hợp ảnh và video, siêu dữ liệu có thể bao gồm thông tin về loại máy ảnh được sử dụng và cài đặt của nó, cũng như tọa độ vĩ độ và kinh độ chính xác của nơi hình ảnh được chụp.
Lỗ hổng bảo mật là có vấn đề vì bất kỳ ai sử dụng Partiously đều có thể tiết lộ vị trí của nơi ảnh hồ sơ của một người bị chụp. Một số hình ảnh hồ sơ người dùng Partitiously có chứa dữ liệu vị trí chi tiết cao có thể được sử dụng để xác định nhà hoặc nơi làm việc của người đó, đặc biệt là ở khu vực nông thôn nơi các ngôi nhà riêng lẻ dễ phân biệt trên bản đồ.
Đó là thông lệ phổ biến cho các công ty lưu trữ hình ảnh và video người dùng để tự động xóa siêu dữ liệu khi tải lên để ngăn chặn các sai số bảo mật như thế này.
TechCrunch đã tự xác minh con bọ bằng cách tải lên một bức ảnh hồ sơ partiously mới mà trước đây chúng tôi đã chụp từ bên ngoài Trung tâm Hội nghị Moscone West ở San Francisco, nơi có vị trí chính xác của bức ảnh. Khi chúng tôi kiểm tra siêu dữ liệu của bức ảnh được lưu trữ trên máy chủ của Partiously, nó vẫn chứa các tọa độ chính xác của nơi hình ảnh được đưa xuống một vài feet.
Sau khi phát hiện ra lỗ hổng bảo mật, TechCrunch đã cảnh báo những người đồng sáng lập đảng Shreya Murthy và Joy Tao qua email, vì Partiously không có phương tiện công khai để báo cáo các lỗ hổng bảo mật. TechCrunch đã chia sẻ một liên kết đến ảnh hồ sơ thô của người dùng Particent có chứa vị trí trong thế giới thực của người dùng tại thời điểm ảnh được chụp, một địa chỉ dân cư ở Manhattan.
Tao nói với TechCrunch vào thứ Sáu rằng lỗ hổng đã có trên radar của nhóm chúng tôi và gần đây đã được ưu tiên như một bản sửa lỗi sắp tới.
Particitient ban đầu đã cung cấp một dòng thời gian để khắc phục lỗ hổng vào tuần tới, vào tuần tới, nhưng với độ nhạy của dữ liệu liên quan, chia tay đã sửa lỗi vào thứ Bảy theo yêu cầu của TechCrunch.
TechCrunch xác nhận hôm thứ Bảy rằng siêu dữ liệu đã bị xóa khỏi các bức ảnh do người dùng hiện có. Ảnh hồ sơ mà chúng tôi đã tải lên với vị trí trong thế giới thực của chúng tôi cũng đã loại bỏ siêu dữ liệu.
Particent tiết lộ sai sót an ninh trong một tweet ngay trước khi xuất bản câu chuyện này.
Khi được TechCrunch hỏi nếu Partiously có các phương tiện kỹ thuật, chẳng hạn như nhật ký, để xác định xem có bất kỳ quyền truy cập trực tiếp hay số lượng lớn nào vào ảnh hồ sơ người dùng được lưu trữ trong cơ sở dữ liệu của mình, người phát ngôn của Parto Jess Eames cho biết đây vẫn chưa được điều tra nhưng chúng tôi chưa tìm thấy bằng chứng nào về điều này.
Eames cho biết công ty thường xuyên thực hiện các đánh giá bảo mật với các chuyên gia trong lĩnh vực này, không chỉ là một hành động một lần mà là một phần của các quy trình đang diễn ra của chúng tôi. Partiously không cung cấp cho TechCrunch tên của các chuyên gia khi được hỏi.
Partiously đã huy động được hơn 27 triệu đô la từ các nhà đầu tư kể từ khi thành lập vào năm 2022, bao gồm một vòng tài trợ Series A trị giá 20 triệu đô la do Andreessen Horowitz dẫn đầu. TechCrunch đã yêu cầu những người đồng sáng lập của Partiously nếu họ đã ủy thác đánh giá bảo mật sản phẩm của họ trước khi ra mắt, nhưng sẽ không nói.
