Partiful Uygulamasında Kullanıcı Fotoğraflarından GPS Verilerinin Güvenliği Tehlikede

Partiful, kendisini “sıcak insanlar için Facebook etkinlikleri” olarak tanımlayan sosyal etkinlik planlama uygulaması, parti davetleri göndermek için Facebook’un yerini almış durumda. Ancak, Partiful’un Facebook ile paylaştığı bir diğer özellik de kullanıcı verilerini toplama konusundaki tutumu. Uygulamanın bu verileri koruma konusunda daha dikkatli olması gerektiği ortaya çıktı.

Partiful, ev sahiplerinin çevrimiçi davetiyeler oluşturmasına olanak tanıyarak, misafirlerin etkinliklere kolayca katılmasını sağlıyor. Uygulama, kullanıcı dostu ve trend bir görünüm sunarak, iOS App Store’un Yaşam Tarzı listelerinde 9. sıraya yükseldi. Google, Partiful’u 2024’ün “en iyi uygulaması” olarak nitelendirdi.

Zamanla, Partiful, kullanıcıların arkadaşları ve onların arkadaşları arasında kolayca bağlantı kurduğu güçlü bir sosyal ağ haline geldi. Bu, kullanıcıların ne yaptığını, nereye gittiğini ve telefon numaralarını içeren bir veri akışını beraberinde getiriyor.

Partiful’un popülaritesinin artmasıyla, bazı kullanıcılar uygulamanın kökenlerinden şüphe duymaya başladı. New York’taki bir etkinlik düzenleyicisi, Partiful’un kurucularının ve bazı çalışanlarının Palantir adlı veri madencilik şirketinin eski çalışanları olduğunu belirterek uygulamayı boykot ettiklerini duyurdu.

Uygulama hakkında artan spekülasyonlar nedeniyle, teknoloji haberleri platformu TechCrunch, yeni bir hesap açarak Partiful’u test etmeye karar verdi. Yapılan testlerde, kullanıcıların yüklediği görsellerin konum verilerinin silinmediği tespit edildi.

TechCrunch, yalnızca bir web tarayıcısındaki geliştirici araçlarını kullanarak, Partiful’un arka uç veritabanında saklanan kullanıcı profil fotoğraflarına erişimin mümkün olduğunu buldu. Eğer kullanıcının fotoğrafı, çekildiği yerin kesin koordinatlarını içeriyorsa, bu bilgilere başka bir kullanıcı da ulaşabiliyordu.

Metadata, dijital dosyaların çoğunda bulunan ve dosya boyutu, oluşturulma tarihi gibi bilgileri içeren bir veri türüdür. Fotoğraf ve videolar için metadata, kullanılan kameranın türü, ayarları ve çekim koordinatları gibi bilgileri içerebilir.

Bu güvenlik açığı, Partiful kullanıcılarının profil fotoğraflarının nerede çekildiğini açığa çıkarma riski taşıyor. Bazı kullanıcıların profil fotoğrafları, özellikle kırsal alanlarda, ev veya iş yerlerini belirlemek için kullanılabilecek ayrıntılı konum verileri içeriyordu.

Kullanıcı görüntülerini barındıran şirketlerin, gizlilik ihlallerini önlemek amacıyla yükleme sırasında metadata’yı otomatik olarak silmeleri yaygın bir uygulamadır.

TechCrunch, San Francisco’daki Moscone West Kongre Merkezi önünde çekilmiş bir profil fotoğrafını Partiful’a yükleyerek güvenlik açığını doğruladı. Bu fotoğrafın metadata’sı, görüntünün çekildiği yerin kesin koordinatlarını içeriyordu.

Güvenlik açığını keşfettikten sonra, TechCrunch, Partiful’un kurucuları Shreya Murthy ve Joy Tao’ya e-posta göndererek durumu bildirdi. Partiful, güvenlik açıklarını bildirmek için kamusal bir yol sunmadığı için bu iletişim önem taşıyordu.

Tao, TechCrunch’a yaptığı açıklamada, bu güvenlik açığının ekiplerinin radarında olduğunu ve çözüm için önceliklendirdiklerini belirtti. Başlangıçta sorunun çözümü için “önümüzdeki hafta” bir tarih veren Partiful, veri güvenliğinin önemini dikkate alarak, TechCrunch’ın talebi üzerine sorunu Cumartesi günü çözdü.

TechCrunch, Cumartesi günü mevcut kullanıcı fotoğraflarındaki metadata’nın silindiğini doğruladı. Daha önce yüklenen fotoğrafın metadata’sı artık mevcut değildi.

Partiful, bu güvenlik açığını bir tweet ile duyurdu. TechCrunch, Partiful’un veritabanındaki kullanıcı profil fotoğraflarına yönelik herhangi bir doğrudan veya toplu erişim olup olmadığını sorduğunda, Partiful’un sözcüsü Jess Eames, bunun hala araştırma aşamasında olduğunu ancak şu an için böyle bir kanıt bulamadıklarını belirtti.

Eames, şirketin alanında uzmanlarla düzenli olarak güvenlik incelemeleri gerçekleştirdiğini ifade etti. Ancak, TechCrunch, bu uzmanların isimlerini öğrenme talebine yanıt verilmedi.

Partiful, 2022’de kurulduğundan bu yana yatırımcılardan 27 milyon dolardan fazla fon topladı. TechCrunch, Partiful’un kurucularına, ürün piyasaya sürülmeden önce bir güvenlik incelemesi yapılıp yapılmadığını sordu fakat bu konuda bir yanıt gelmedi.