L’application de planification des événements sociaux Partité, qui s’appelle «les événements Facebook pour les gens chauds», a fermement remplacé Facebook en tant que plate-forme incontournable pour envoyer des invitations de fête. Mais ce que Paritul a également en commun avec Facebook, c’est qu’il collecte un tsunami de données utilisateur, et Paritul pourrait avoir mieux fait pour garder ces données sécurisées.
Sur Partitul, les hôtes peuvent créer des invitations en ligne avec une ambiance rétro et maximaliste, permettant aux clients de RSVP aux événements avec la facilité de commander une salade sur un écran tactile. Partielle vise à être conviviale et à la mode, propulsant l’application au n ° 9 sur les graphiques de style de vie de l’App Store iOS. Google a appelé le partitle la «meilleure application» de 2024.
Maintenant, Partitul est devenu un puissant graphique social de type Facebook, cartographiant facilement qui sont vos amis et qui sont vos amis de vos amis, ce que vous faites, où vous allez et tous vos numéros de téléphone.
Alors que le partitul est devenu plus populaire, certains utilisateurs sont devenus sceptiques quant aux origines de l’entreprise. Un promoteur de la ville de New York anonded qu’il boycottait Paritul Belly ses fondateurs et que certains membres du personnel s’entraînent employés, la société d’exploration de données de Peter Thiel, qui produit le logiciel qui alimente la base de données maîtresse de l’ICE pour la répression de déportation de l’administration Truss.
Compte tenu de certaines spéculations autour de l’application, TechCrunch a créé un nouveau compte et testé partitul. Nous avons rapidement constaté que l’application ne dépouilaise pas les données de location des images téléchargées par l’utilisateur, comprenait des photos de profil public.
TechCrunch a trouvé qu’il était possible pour quiconque, n’utilisant que les outils de développeur dans un navigateur Web, d’accéder aux photos de profil utilisateur brutes stockées dans la base de données backend de Paritul hébergée sur Google Firebase. Si la photo de l’utilisateur contenait la location précise du monde réel de l’endroit où elle a été prise, n’importe qui d’autre aurait également pu voir les coordonnées précises de l’endroit où cette photo a été prise.
Presque tous les fichiers numériques, comme les images que vous prenez sur un smartphone, contiennent des métadonnées, que des informations comme la taille du fichier, lorsqu’elle a été créée, et par qui. Dans le cas des photos et des vidéos, les métadonnées peuvent inclure des informations sur le type d’appareil photo utilisé et ses paramètres, ainsi que les coordonnées précises de latitude et de longgitude dont l’image a été capturée.
La faille de sécurité est à problème car toute personne d’utilisation du paritul pourrait avoir des rêves la location de l’endroit où la photo de profil d’une personne a été prise. Certaines photos de profil utilisateur partitul ont continué des données de location hautement granulaires qui pourraient être utilisées pour identifier la maison ou le travail de la personne, en particulier dans les zones rurales où les maisons individuelles sont plus faciles à distinguer sur une carte.
Il est courant que les entreprises qui hébergent des images d’utilisateurs et des vidéos suppriment automatiquement les métadonnées lors du téléchargement pour éviter que la confidentialité soit des likes comme celle-ci.
TechCrunch a vérifié le bug nous-mêmes en téléchargeant une nouvelle photo de profil partitul que nous avions précédemment capturée de l’extérieur du Moscone West Convention Center à San Francisco, qui contenait la location précise de la photo. Lorsque nous avons vérifié les métadonnées de la photo stockée sur le serveur de Paritul, il contenait toujours les coordonnées exactes dont l’image a été tape sur un pied.


Après avoir découvert la faille de sécurité, TechCrunch a alerté les cofondateurs de Partrité Shreya Murthy et Joy Tao par e-mail, car le partitul n’a pas de moyen public pour signaler les défauts de sécurité. TechCrunch a partagé un lien vers la photo de profil brut d’un utilisateur de Paritul contenant la location du monde réel de l’utilisateur au moment où la photo a été prise, une addition résidentielle à Manhattan.
Tao a déclaré vendredi à TechCrunch que la vulnérabilité était «déjà sur le radar de notre équipe et a récemment été priorisée comme une correction à venir».
Partitul a initialement fourni un calendrier pour corriger la faille d’ici «la semaine prochaine», mais étant donné la sensibilité des données impliquées, TechCrunch a demandé le correctif d’ici vendredi. Partitul a confirmé qu’il avait corrigé le bug samedi.
TechCrunch a trouvé samedi que les métadonnées ont été supprimées des photos téléchargées par l’utilisateur existantes. La photo de profil que nous avons téléchargée avec notre location réelle a également fait supprimer les métadonnées.
Partitul a révélé le laps de sécurité dans un tweet peu de temps avant la publication de cette histoire.
Lorsqu’on lui a demandé par TechCrunch si le partitul a les moyens techniques, tels que les journaux, pour déterminer s’il y avait un accès direct ou en vrac aux photos de profil utilisateur stockées dans sa base de données, le porte-parole de Paritul, Jess Eames, a déclaré que c’était « toujours sous enquête, mais nous n’avons trouvé aucune preuve de cela ».
Eames a déclaré que la société «effectuait régulièrement des avis sur la sécurité avec des experts dans le domaine, non seulement en tant qu’action unique, mais dans le cadre de nos processus de naufrage. Partitul n’a pas fourni à TechCrunch le nom des experts lorsqu’on lui a demandé.
Partitul a levé plus de 27 millions de dollars auprès des investisseurs depuis sa fondation en 2022, comprenait une série de financement de 20 millions de dollars, dirigée par Andreessen Horowitz. TechCrunch a demandé aux co-fondateurs de Partitul s’ils avaient commandé un examen de la sécurité de leur produit avant le lancement, mais ils ne diraient pas.

