Event app Partiful didn't scrub location data from user photos

Partiful, l'application de planification d'événements sociaux qui se décrit comme le "Facebook events pour les gens branchés," a fermement pris la place de Facebook comme plateforme de référence pour l'envoi d'invitations à des fêtes. Cependant, Partiful partage également avec Facebook une propension à collecter une quantité massive de données utilisateur, et l'entreprise aurait pu faire mieux pour assurer la sécurité de ces informations.

À présent, Partiful s'est transformé en un puissant graphe social, similaire à celui de Facebook, capable de cartographier aisément l'identité de vos amis et des amis de vos amis, vos activités, vos déplacements et l'ensemble de vos numéros de téléphone.

Suite à des spéculations autour de l'application, TechCrunch a créé un nouveau compte pour la tester. Nous avons rapidement découvert que l'application ne supprimait pas les données de localisation des images téléchargées par les utilisateurs, y compris les photos de profil publiques.

TechCrunch a constaté qu'il était possible pour quiconque, en utilisant uniquement les outils de développement d'un navigateur web, d'accéder aux photos de profil brutes des utilisateurs stockées dans la base de données backend de Partiful hébergée sur Google Firebase. Si la photo d'un utilisateur contenait la localisation géographique précise de l'endroit où elle avait été prise, n'importe qui aurait également pu visualiser les coordonnées exactes de ce lieu.

Cette faille de sécurité est problématique car tout utilisateur de Partiful aurait pu révéler la localisation de l'endroit où la photo de profil d'une personne a été prise. Certaines photos de profil d'utilisateurs de Partiful contenaient des données de localisation très granulaires qui auraient pu être utilisées pour identifier le domicile ou le lieu de travail de la personne, en particulier dans les zones rurales où les maisons individuelles sont plus facilement distinguables sur une carte.

Il est courant que les entreprises qui hébergent des images et des vidéos d'utilisateurs suppriment automatiquement les métadonnées lors du téléchargement afin de prévenir des atteintes à la vie privée de ce type.

TechCrunch a vérifié le bug en téléchargeant une nouvelle photo de profil Partiful que nous avions préalablement capturée devant le Moscone West Convention Center à San Francisco, et qui contenait la localisation précise de la photo. Lorsque nous avons vérifié les métadonnées de la photo stockée sur le serveur de Partiful, elles contenaient toujours les coordonnées exactes de l'endroit où l'image avait été prise, à quelques pieds près.

Après avoir découvert cette faille de sécurité, TechCrunch a alerté les co-fondatrices de Partiful, Shreya Murthy et Joy Tao, par email, Partiful ne disposant pas de moyen public pour signaler les failles de sécurité. TechCrunch a partagé un lien vers une photo de profil brute d'un utilisateur de Partiful contenant la localisation réelle de cet utilisateur au moment où la photo avait été prise, une adresse résidentielle à Manhattan.

Tao a déclaré à TechCrunch vendredi que la vulnérabilité était "déjà sur le radar de notre équipe, et a récemment été priorisée comme une correction à venir."

Partiful a initialement fourni un calendrier pour corriger la faille d'ici "la semaine prochaine," mais étant donné la sensibilité des données impliquées, TechCrunch a demandé une correction pour vendredi. Partiful a confirmé avoir corrigé le bug samedi.

TechCrunch a constaté samedi que les métadonnées avaient été supprimées des photos existantes téléchargées par les utilisateurs. La photo de profil que nous avions téléchargée avec notre localisation réelle avait également vu ses métadonnées supprimées.

Lorsqu'on lui a demandé si Partiful disposait des moyens techniques, tels que des journaux, pour déterminer s'il y avait eu un accès direct ou en masse aux photos de profil des utilisateurs stockées dans sa base de données, la porte-parole de Partiful, Jess Eames, a répondu que c'était "toujours sous enquête mais nous n'avons trouvé aucune preuve de cela pour l'instant."

Eames a déclaré que l'entreprise "effectue régulièrement des revues de sécurité avec des experts dans le domaine, non pas comme une action ponctuelle mais comme faisant partie de nos processus continus." Partiful n'a pas fourni à TechCrunch les noms des experts lorsqu'on les a interrogés.

Partiful a levé plus de 27 millions de dollars auprès d'investisseurs depuis sa fondation en 2022, y compris un tour de financement de série A de 20 millions de dollars mené par Andreessen Horowitz. TechCrunch a demandé aux co-fondatrices de Partiful si elles avaient commandité une revue de sécurité de leur produit avant le lancement, mais elles n'ont pas souhaité répondre.