📚 Continue Lendo
Mais artigos do nosso blog
A aplicação de planejamento de eventos sociais Partiful, que se autodenomina “eventos do Facebook para pessoas descoladas”, falhou em sua proteção de dados, resultando na exposição de informações sensíveis de localização de seus usuários. Uma investigação jornalística revelou que o aplicativo, popularmente conhecido por substituir o Facebook como plataforma para convites a festas, não removia metadados de geolocalização de fotos de perfil carregadas por seus usuários, deixando-os vulneráveis.
Desde sua ascensão meteórica ao nono lugar na categoria Estilo de Vida da App Store do iOS – e a eleição como “melhor aplicativo de 2024” pelo Google – o Partiful estabeleceu-se como uma plataforma chave para organizar convites online. Com uma estética retrô e maximalista, ele oferece uma experiência simplificada para convidados confirmarem presença em eventos, replicando a facilidade de um “Facebook para a nova geração”. No entanto, o rápido crescimento também ampliou a capacidade do aplicativo de mapear redes sociais complexas, incluindo amizades, atividades, locais frequentados e números de telefone, intensificando a preocupação com a segurança e privacidade dos dados coletados.
Partiful Falha Segurança: Localização de Fotos Exposta
Preocupações acerca das origens do Partiful já circulavam entre usuários e profissionais do setor. Em Nova York, por exemplo, um promotor chegou a boicotar o aplicativo devido ao fato de seus fundadores e parte da equipe serem ex-funcionários da Palantir, uma empresa de mineração de dados de Peter Thiel, notoriamente responsável por desenvolver softwares que apoiaram operações de deportação da administração Trump. Em face dessas especulações, o portal TechCrunch iniciou uma investigação própria, configurando uma nova conta para testar o funcionamento da plataforma.
Os testes realizados pelo TechCrunch rapidamente confirmaram a existência de uma séria falha de segurança. A equipe constatou que o Partiful não estava removendo os dados de localização GPS (Geographic Positioning System) de imagens enviadas pelos usuários, incluindo as fotografias de perfil público. Qualquer pessoa com conhecimentos básicos em ferramentas de desenvolvimento de navegadores poderia acessar as fotos de perfil originais, que estavam armazenadas nos servidores do Partiful hospedados na plataforma Google Firebase. Se uma dessas imagens contivesse metadados de localização precisa – indicando o local exato onde a foto foi tirada – tais coordenadas poderiam ser visualizadas publicamente.
A maioria dos arquivos digitais, especialmente fotografias capturadas por smartphones, incorporam automaticamente metadados. Esses dados ocultos podem incluir informações como tamanho do arquivo, data e hora da criação, tipo de câmera utilizada e suas configurações. Mais criticamente, eles frequentemente contêm coordenadas precisas de latitude e longitude que registram o ponto exato da captura da imagem. A incapacidade do Partiful de processar e remover esses dados era uma falha que expunha diretamente a privacidade dos usuários.
Esta falha representou um risco significativo, permitindo que a localização de residências, locais de trabalho ou outros endereços pessoais fosse potencialmente identificada. Em áreas rurais, por exemplo, onde as propriedades são mais espaçadas e visualmente distintas, o risco de identificação exata da localização era ainda maior. A prática comum na indústria de tecnologia para plataformas que hospedam conteúdo visual, como fotos e vídeos, é remover automaticamente esses metadados durante o upload para prevenir violações de privacidade desse tipo.
Para verificar a ocorrência da falha, a equipe do TechCrunch carregou em seu perfil no Partiful uma fotografia que havia sido tirada em frente ao Moscone West Convention Center, em São Francisco. Esta foto continha as coordenadas de localização precisas do local de captura. Ao analisar os metadados da imagem já hospedada nos servidores do Partiful, o TechCrunch confirmou que a plataforma ainda mantinha as coordenadas exatas, com uma margem de poucos metros, provando a vulnerabilidade.
Após a descoberta da brecha, o TechCrunch contatou Shreya Murthy e Joy Tao, co-fundadoras do Partiful, por e-mail – já que o aplicativo não dispunha de um canal público para reportar falhas de segurança. A equipe de reportagem compartilhou um link de uma foto de perfil de usuário contendo um endereço residencial em Manhattan, comprovando a sensibilidade dos dados expostos. Em resposta, na sexta-feira, Tao informou ao TechCrunch que a vulnerabilidade já estava “no radar da equipe” e que sua correção havia sido “recentemente priorizada como uma correção futura”.
Imagem: Getty via techcrunch.com
Inicialmente, o Partiful estabeleceu um prazo de uma semana para solucionar o problema. Contudo, devido à natureza crítica e à sensibilidade dos dados envolvidos, e mediante solicitação do TechCrunch, a correção foi acelerada e implementada até o sábado seguinte. No mesmo dia, o TechCrunch confirmou que os metadados foram devidamente removidos das fotos já existentes e da fotografia de perfil que a equipe havia carregado, comprovando a efetividade da correção.
Em um comunicado divulgado via Twitter, pouco antes da publicação desta matéria, o Partiful confirmou publicamente o incidente de segurança. Ao ser questionado se a empresa possuía meios técnicos, como logs, para determinar se houve acesso direto ou em massa a fotos de perfil armazenadas em sua base de dados, Jess Eames, porta-voz do Partiful, declarou que a questão ainda estava “sob investigação”, mas que “nenhuma evidência” de tal acesso havia sido encontrada até o momento. Para mais informações sobre como os metadados funcionam e seu impacto na privacidade digital, você pode consultar a página da Wikipedia sobre metadados EXIF.
Eames ainda afirmou que a empresa “realiza regularmente revisões de segurança com especialistas na área, não apenas como uma ação única, mas como parte de nossos processos contínuos”, porém não divulgou os nomes desses especialistas quando solicitada. Desde sua fundação em 2022, o Partiful já arrecadou mais de 27 milhões de dólares de investidores, incluindo uma rodada de financiamento da Série A de 20 milhões de dólares liderada pela Andreessen Horowitz. Apesar disso, os co-fundadores não confirmaram se haviam solicitado uma revisão de segurança de seu produto antes do lançamento.
Confira também: crédito imobiliário
A situação envolvendo o Partiful serve como um lembrete contundente da importância da segurança e privacidade de dados em plataformas digitais. A capacidade de um aplicativo popular de expor informações de localização tão precisas sublinha a responsabilidade contínua das empresas em proteger seus usuários. Para continuar acompanhando as últimas notícias sobre tecnologia e segurança digital, explore nossa editoria de Análises e mantenha-se informado sobre os impactos da era digital em seu dia a dia.
Crédito da imagem: TechCrunch
Recomendo
🔗 Links Úteis
Recursos externos recomendados
