Sociālo notikumu plānošanas lietotne Partulus, kas sevi dēvē par “Fb notikumiem karstiem cilvēkiem”, ir stingri aizstājusi Fb kā partiju ielūgumu nosūtīšanas platformu. Wager tas, kas Partiful ir kopīgs arī ar Fb, ir tas, ka tas vāc cunami lietotāju datu, un Daļēji varēja darīt labāk, lai saglabātu šos datus.
Daļēji saimnieki var radīt ielūgumus tiešsaistē ar retro, maksimālistisku vibe, ļaujot viesiem RSVP pasākumus, lai atvieglotu salātu pasūtīšanu uz skārienekrāna. Daļuma mērķis ir būt lietotājam draudzīgam un modernam, proporcējot lietotni uz #9 iOS App Retailer dzīvesveida diagrammās. Google sauca par 2024. gada “labāko lietotni”.
Tagad Daļējais ir kļuvis par spēcīgu Fb līdzīgu sociālo grafiku, viegli kartējot to, kas ir jūsu draugi un kas ir jūsu draugu draugi, ko jūs darāt, kur dodaties, un visi jūsu tālruņu numuri.
Tā kā daļa kļuva populārāka, daži lietotāji kļuva skeptiski noskaņoti pret uzņēmuma pirmsākumiem. Viens Ņujorkas pilsētas veicinātājs paziņoja, ka tas ir Boikotē daļēji jo tā dibinātāji un daži darbinieki ir Bijušie Palantir darbiniekiPētera Thiela datu ieguves uzņēmums, kas ražo programmatūru, kas darbina Ice’s Master datu bāze Trumpa administrācijas izraidīšanas apspiešanai.
Ņemot vērā dažas spekulācijas ap lietotni, TechCrunch izveidoja jaunu kontu un pārbaudīja daļēji. Drīz mēs noskaidrojām, ka lietotne neatrodas atrašanās vietas datus, kas saistīti ar lietotāja un UPLADED attēlu, ieskaitot publiskā profila fotoattēlus.
TechCrunch atklāja, ka ikvienam, izmantojot tikai izstrādātāju rīkus tīmekļa pārlūkā, ir iespējams piekļūt neapstrādātu lietotāja profila fotoattēliem, kas saglabāti Daļuma aizmugures datu bāzē, kas mitināta Google Firebase. Ja lietotāja fotoattēlā būtu precīza reālās pasaules vieta, kur tas tika aizvests, kāds cits varēja apskatīt arī precīzas koordinātas, kur šī fotogrāfija tika uzņemta.
Gandrīz visi digitālie faili, piemēram, attēli, kurus uzņemat viedtālrunī, satur metadatus, kas ietver tādu informāciju kā faila lielums, kad tas tika izveidots un kurš. Fotoattēlu un videoklipu gadījumā metadati var ietvert informāciju par izmantoto kameru un tās iestatījumiem, kā arī precīzas platuma un garuma koordinātas, kur tika uzņemts attēls.
Drošības trūkums ir problemātisks, jo ikviens, kurš izmanto daļēji, varēja atklāt, ka personas profila fotoattēla tika uzvilkta. Dažos daļēji lietotāja profila fotoattēlos bija ļoti detalizēti dati par atrašanās vietu, kurus varētu izmantot, lai identificētu personas mājas vai darbu, it īpaši lauku apvidos, kur atsevišķas mājas ir vieglāk atšķirt kartē.
Tā ir ierasta prakse uzņēmumiem, kas mitina lietotāju attēlus un videoklipus, lai automātiski noņemtu metadatus, augšupielādējot, lai novērstu tādas privātuma pārtraukšanas.
TechCrunch pārbaudīja kļūdu, augšupielādējot jaunu partizānu profila fotoattēlu, kuru mēs iepriekš bijām uztvēruši no Moscone West konferenču centra ārpus Sanfrancisko, kurā bija precīza fotoattēla atrašanās vieta. Kad mēs pārbaudījām Fotoattēla metadatus, kas saglabāti uz daļēja servera, tajā joprojām bija precīzas koordinātas, kur attēls tika noņemts līdz dažām pēdām.
Pēc drošības trūkuma atklāšanas TechCrunch brīdināja par daļēju līdzdibinātāju Šreju Murthy un Pleasure Tao pa e-pastu, jo Daļaiļa nav publiska līdzekļu, lai ziņotu par drošības trūkumiem. TechCrunch kopīgoja saiti uz partizānu lietotāja neapstrādāta profila fotoattēlu, kurā bija šī lietotāja reālās pasaules atrašanās vieta fotoattēla uzņemšanas laikā, dzīvojamā adrese Manhetenā.
Tao piektdien TechCrunch sacīja, ka ievainojamība ir “jau uz mūsu komandas radara, un nesen tika noteikta prioritāte kā gaidāmais labojums”.
Sākotnēji partizators sniedza laika grafiku, lai novērstu trūkumu līdz “nākamajai nedēļai”, guess, ņemot vērā iesaistīto datu jutīgumu, Daļēji līdz sestdienai pēc TechCrunch pieprasījuma fiksēja kļūdu.
TechCrunch sestdien apstiprināja, ka metadati tika noņemti no esošajiem lietotāju eksplitētiem fotoattēliem. Profila fotoattēlam, kuru mēs augšupielādējām ar mūsu reālās pasaules atrašanās vietu, tika noņemti arī metadati.
Daļēji atklāja drošības zaudējumu tvīts Neilgi pirms šī stāsta publicēšanas.
Kad TechCrunch to jautāja, ja Partiful ir tehniski līdzekļi, piemēram, žurnāli, lai noteiktu, vai ir kāda tieša vai beztaras piekļuve lietotāja profila fotoattēliem, kas saglabāti tās datu bāzē, daļēji pārstāvis Jess Eames sacīja, ka tas joprojām tiek izmeklēts, guess mēs vēl neesam atraduši par to pierādījumu. ”
Eames sacīja, ka uzņēmums “regulāri veic drošības pārskatus ar nozares ekspertiem ne tikai kā vienreizēju darbību, guess arī kā daļu no mūsu notiekošajiem procesiem”. Daļēji nesniedza TechCrunch ar ekspertu vārdu, kad viņam tika jautāts.
Kopš tā dibināšanas 2022. gadā Daļējais ir ieguvis vairāk nekā 27 miljonus dolāru no ieguldītājiem, ieskaitot 20 miljonu ASV dolāru sērijas A finansējuma kārtu, kuru vadīja Andreessen Horowitz. TechCrunch jautāja Partiful līdzdibinātājiem, vai viņi pirms palaišanas ir pasūtījuši sava produkta drošības pārskatu, guess neteiktu.
