Приложение для планирования мероприятий Partiful, ставшее популярной альтернативой для рассылки приглашений на вечеринки, оказалось уязвимым с точки зрения безопасности данных пользователей. Пользователи могут создавать яркие и стильные приглашения, а гости — легко подтверждать участие. Приложение быстро выросло и заняло 9-е место в категории Lifestyle на iOS, получив признание от Google как одно из лучших приложений 2024 года.
Однако в Partiful обнаружили серьезную проблему: при загрузке фотографий приложение не удаляло геолокационные данные (), которые содержат точные координаты места съемки. Это означало, что любой мог получить доступ к точному месту, где была сделана фотография профиля пользователя, что представляет угрозу конфиденциальности, особенно в сельской местности, где легко определить личный дом или рабочее место.
Большинство сервисов автоматически удаляют такие при загрузке, чтобы защитить пользователей. Проверка показала, что загруженные фото сохраняли координаты с точностью до нескольких метров, что могло раскрыть местоположение пользователя.
После обнаружения уязвимости разработчики Partiful быстро отреагировали и уже к следующему дню исправили проблему, удалив со всех ранее загруженных фотографий. Представители компании сообщили, что проводят регулярные проверки безопасности и пока не нашли доказательств несанкционированного доступа к данным.
Стартап Partiful, основанный в 2022 году, привлек более 27 миллионов долларов инвестиций, включая крупный раунд финансирования от Andreessen Horowitz. Несмотря на успех приложения, инцидент с утечкой геоданных подчеркнул важность внимательного отношения к безопасности и конфиденциальности пользователей в цифровых сервисах.
