La aplicación de planificación de eventos sociales ha reemplazado firmemente a Trabajo, conocido como los «Eventos de Facebook de Hot People», como su plataforma para enviar invitaciones de fiesta. Sin embargo, lo que tiene en común con Facebook es que recopila tsunamis de datos de usuarios, lo que ha ayudado a mantener esos datos seguros.
En particular, el anfitrión puede crear invitaciones en línea con la atmósfera retro más grande, lo que permite a los huéspedes hacer de RSVP un evento, lo que les facilita pedir ensaladas en la pantalla táctil. El TEEM, que es fácil de usar y de moda, y tiene como objetivo llevar las aplicaciones al #9 en la tabla de estilo de vida de iOS App Store. Google llamó a Particiful la «mejor aplicación» de 2024.
Ahora, Shartiful se ha convertido en un poderoso gráfico social como Facebook, mapeando todos los números de teléfono, quiénes son sus amigos, quiénes son sus amigos, qué están haciendo, a dónde van.
A medida que aumentaba la patentabilidad, algunos usuarios se volvieron escépticos sobre los orígenes de la compañía. Un promotor de la ciudad de Nueva York ha anunciado que su fundador y algunos empleados están boicoteando las fuerzas especiales, ya que son ex empleados de Palantir, una compañía minera de datos para Pater Thiel, que produce software para fortalecer la base de datos maestra de ICE para suprimir la deportación de la administración Trump.
Dadas algunas de las especulaciones en torno a la aplicación, TechCrunch estableció una nueva cuenta y probó su patentabilidad. Inmediatamente, descubrimos que la aplicación no ha eliminado los datos de ubicación para las imágenes utilizadas por los usuarios, incluidas las fotos de perfil público.
TechCrunch ha descubierto que es posible acceder a las fotos de perfil de usuario sin procesar almacenadas en la base de datos de backend de Particiful alojada en Google Firebase utilizando solo las herramientas de desarrollador del navegador web. Si la foto de un usuario contenía la ubicación exacta del mundo real de dónde se tomó, entonces todos los demás también podrían ver las coordenadas exactas de dónde se tomó la foto.
Casi todos los archivos digitales, como una foto tomada con un teléfono inteligente, contienen el tamaño del archivo, metadatos que contienen información por quién se creó. Para fotos y videos, los metadatos pueden incluir información sobre el tipo de cámara utilizada y su configuración, así como las coordenadas exactas de latitud y longitud de dónde se capturó la imagen.
Los defectos de seguridad son un problema para cualquier persona que use Shariful, ya que es posible que hayan revelado dónde se rompió la foto de perfil de una persona. Algunas fotos de perfil de usuario separadas contienen datos de ubicación de grano muy fino que pueden usarse para identificar los hogares y lugares de trabajo de las personas, especialmente en áreas rurales donde las casas individuales se identifican fácilmente en los mapas.
Esta es una práctica común para las empresas que alojan las imágenes y los videos de los usuarios para eliminar automáticamente los metadatos cuando se cargan para evitar este lapso de privacidad.
TechCrunch confirmó el error cargando otra nueva foto de perfil anteriormente tomada desde fuera del Centro de Convenciones Moscone West en San Francisco, que incluye la ubicación exacta de la foto. Cuando revisé los metadatos de la foto almacenados en el servidor de Particiful, contenía las coordenadas exactas de dónde se eliminaba la imagen hasta unos pocos pies.
Después de descubrir las fallas de seguridad, TechCrunch envió un correo electrónico a la partidaria Shreya Murthy y Joy Tao. TechCrunch compartió un enlace a las fotos de perfil sin procesar del usuario como Farewell, incluida la ubicación real del usuario cuando se tomó la foto, que es la dirección de Manhattan.
Tao le dijo a TechCrunch el viernes que la vulnerabilidad «ya estaba en el radar del equipo y recientemente se le dio prioridad como una solución futura».
Bartiful inicialmente proporcionó una línea de tiempo para corregir el defecto «la próxima semana», pero dada la sensibilidad de los datos involucrados, solucionó el error el sábado en respuesta a la solicitud de TechCrunch.
TechCrunch confirmó el sábado que los metadatos se eliminaron de las fotos utilizadas por los usuarios existentes. Los metadatos también se eliminaron en fotos de perfil cargadas en ubicaciones del mundo real.
Justo antes de que se publicara la historia, revelamos el progreso de la seguridad en un tweet.
Cuando TechCrunch le preguntó si Trabajo tiene medidas técnicas como registros, al determinar si tiene cantidades directas o grandes de acceso a las fotos de perfil de usuario almacenadas en la base de datos, los corteses, Jess Eames, dijeron que esto «todavía estaba bajo investigación, pero aún no se ha encontrado evidencia de esto».
Eames dijo que la compañía «realiza revisiones de seguridad regulares con expertos en este campo no solo como una acción única sino como parte de un proceso continuo». Bartiful no proporcionó a TechCrunch el nombre experto cuando se le pidió.
Particiful ha recaudado más de $ 27 millones de los inversores desde su inicio en 2022, incluida una ronda de financiación de la Serie A de $ 20 millones dirigida por Andreessen Horowitz. TechCrunch le preguntó al luchador cofundador si solicitaron una revisión de seguridad del producto antes de su lanzamiento, pero no hay nada que decir.
Source link
