متابعة – أمل علوي
تطبيق تطبيق الأحداث الاجتماعية Partiful ، الذي يطلق على نفسه “أحداث Facebook for Hot People” ، حل محل Facebook بحزم كمنصة الانتقال لإرسال دعوات الحزب. ولكن ما هو جزء مشترك مع Facebook هو أنه يجمع تسونامي لبيانات المستخدم ، وكان من الممكن أن يكون Partiful أفضل للحفاظ على هذه البيانات آمنة.
في جزء منه ، يمكن للمضيفين إنشاء دعوات عبر الإنترنت مع أجواء أقصى ، مما يسمح للضيوف بالقيام بـ RSVP إلى الأحداث مع سهولة طلب السلطة على الشاشة التي تعمل باللمس. يهدف Partiful إلى أن تكون سهلة الاستخدام وعصرية ، ودفع التطبيق إلى رقم 9 على مخططات الحياة في متجر تطبيقات iOS. ودعا Google جزءًا “أفضل تطبيق” لعام 2024.
الآن ، تطورت Partiful إلى رسم بياني اجتماعي قوي يشبه Facebook ، ورسم الخرائط بسهولة من هم أصدقاؤك ومن هم أصدقاؤك وأصدقائك ، وماذا تفعل ، وجميع أرقام هواتفك.
كما نما جزءًا أكثر شعبية ، أصبح بعض المستخدمين متشككين في أصول الشركة. أعلن أحد المروجين في مدينة نيويورك أنه كان مقاطعة جزء لأن مؤسسيها وبعض الموظفين الموظفين السابقين في Palantir، شركة تعدين البيانات في بيتر ثيل ، والتي تنتج البرنامج الذي يعمل على تشغيل ICE قاعدة البيانات الرئيسية بالنسبة لترحيل إدارة ترامب.
بالنظر إلى بعض التكهنات حول التطبيق ، قام TechCrunch بإعداد حساب جديد واختباره. سرعان ما وجدنا أن التطبيق لم يكن يجريد بيانات موقع الصور التي تم تحميلها بواسطة المستخدم ، بما في ذلك صور الملفات العامة العامة.
وجدت TechCrunch أنه من الممكن لأي شخص ، باستخدام أدوات المطورين فقط في متصفح الويب ، للوصول إلى صور ملف تعريف المستخدم RAW المخزنة في قاعدة بيانات BASTILL’S Backend التي تم استضافتها على Google Firebase. إذا احتوت صورة المستخدم على موقع العالم الحقيقي الدقيق للمكان الذي تم التقاطه ، فيمكن أن يشاهد أي شخص آخر الإحداثيات الدقيقة للمكان الذي تم التقاطه.
تحتوي جميع الملفات الرقمية تقريبًا ، مثل الصور التي تلتقطها على هاتف ذكي ، على بيانات تعريف ، والتي تتضمن معلومات مثل حجم الملف ، وعندما تم إنشاؤها ، ومن قبل من. في حالة الصور ومقاطع الفيديو ، يمكن أن تتضمن البيانات الوصفية معلومات حول نوع الكاميرا المستخدمة وإعداداتها ، بالإضافة إلى إحداثيات خطوط الطول والطول الدقيقة للمكان الذي تم التقاط الصورة فيه.
يعتبر عيب الأمان مشكلة لأن أي شخص يستخدم جزءًا قد كشف عن موقع المكان الذي تم فيه التقاط صورة ملف تعريف الشخص. تحتوي بعض صور ملف تعريف المستخدمين الجزئي على بيانات موقع محبب للغاية يمكن استخدامها لتحديد منزل الشخص أو العمل ، وخاصة في المناطق الريفية حيث يكون من الأسهل التمييز بين المنازل الفردية على الخريطة.
من الممارسات الشائعة للشركات التي تستضيف صور المستخدم ومقاطع الفيديو لإزالة البيانات الوصفية تلقائيًا عند التحميل لمنع هفوات الخصوصية مثل هذا.
لقد تحقق TechCrunch من الخطأ من خلال تحميل صورة ملف تعريف جزئي جديد تم التقاطنا من قبل من خارج مركز مؤتمرات Moscone West في سان فرانسيسكو ، والذي يحتوي على الموقع الدقيق للصورة. عندما فحصنا بيانات تعريف الصورة المخزنة على خادم Partiful ، لا يزال يحتوي على الإحداثيات الدقيقة للمكان الذي تم فيه نقل الصورة إلى بضعة أقدام.
بعد اكتشاف عيب الأمن ، نبهت TechCrunch جزءًا من المؤسسين المشاركين شريا مورثي و Joy Tao عبر البريد الإلكتروني ، حيث أن جزءًا لا يملك وسيلة عامة للإبلاغ عن عيوب الأمن. شارك TechCrunch رابطًا إلى صورة ملف تعريف RAW الخاص بالمستخدم الذي يحتوي على موقع العالم الحقيقي للمستخدم في الوقت الذي تم فيه التقاط الصورة ، عنوان سكني في مانهاتن.
أخبر تاو TechCrunch يوم الجمعة أن الضعف كان “بالفعل على رادار فريقنا ، وتم إعطائه الأولوية مؤخرًا كإصلاح قادم”.
قدمت Partiful في البداية جدولًا زمنيًا لإصلاح العيب بحلول “الأسبوع المقبل” ، ولكن بالنظر إلى حساسية البيانات المعنية ، طلب TechCrunch الإصلاح بحلول يوم الجمعة. أكد جزء منه إصلاح الخطأ يوم السبت.
تم العثور على TechCrunch بحلول يوم السبت أنه تمت إزالة البيانات الوصفية من الصور التي تم تحميلها بواسطة المستخدم الحالي. كما تم إزالة صورة الملف الشخصي الذي قمنا بتحميله باستخدام موقعنا الحقيقي.
كشف جزء من الفاصل الأمني في تغريدة قبل وقت قصير من نشر هذه القصة.
عندما سئل من قبل TechCrunch عما إذا كان لدى Partiful الوسائل الفنية ، مثل السجلات ، لتحديد ما إذا كان هناك أي وصول مباشر أو كبير إلى صور ملف تعريف المستخدم المخزّن في قاعدة البيانات الخاصة به ، قال المتحدث الرسمي جيس إيمز هذا “لا يزال قيد التحقيق ولكن لم نجد أي دليل على ذلك بعد.”
وقال إيمز إن الشركة “تقوم بانتظام بمراجعات الأمان مع خبراء في هذا المجال ، ليس فقط كإجراء لمرة واحدة ولكن كجزء من عملياتنا المستمرة.” Partiful لم يوفر TechCrunch اسم الخبراء عند سؤاله.
جمعت Partiful أكثر من 27 مليون دولار من المستثمرين منذ تأسيسها في عام 2022 ، بما في ذلك جولة تمويل بقيمة 20 مليون دولار بقيادة Andreessen Horowitz. سأل TechCrunch مؤسسي Partiful ما إذا كانوا قد كلفوا مراجعة أمنية لمنتجهم قبل الإطلاق ، لكنهم لن يقولوا.
هذا المحتوي تم باستخدام أدوات الذكاء الإصطناعي
