Aplicativo de eventos falha em remover dados de GPS e expõe localização precisa de usuários

O Partiful, o popular aplicativo de planejamento de eventos que se tornou o substituto moderno do Facebook para convites sociais, foi flagrado em uma grave falha de segurança que expôs as coordenadas de localização precisa (GPS) de seus usuários. O TechCrunch descobriu que o aplicativo não estava removendo os metadados das imagens de perfil enviadas, permitindo que qualquer pessoa com conhecimento básico pudesse rastrear o local exato onde as fotos foram tiradas.

O aplicativo, que se autodenomina "eventos do Facebook para pessoas atraentes", rapidamente evoluiu para um poderoso gráfico social que mapeia a rede de amigos, atividades e números de telefone dos usuários. Contudo, essa popularidade esconde uma negligência de segurança crucial: qualquer pessoa, utilizando ferramentas simples de desenvolvedor em um navegador, podia acessar as fotos brutas de perfil do banco de dados do Partiful no Google Firebase. Se a foto do usuário continha as coordenadas de latitude e longitude (dados EXIF), o local real da captura era revelado, podendo ser usado para identificar a casa ou o trabalho da pessoa com precisão de poucos metros.

A exposição desses dados de localização altamente granulares é uma falha de segurança séria, pois a remoção de metadados é considerada uma prática comum e básica para empresas que hospedam imagens de usuários.

A investigação do TechCrunch surge em meio a especulações sobre as origens do Partiful, que arrecadou mais de US$ 27 milhões em financiamento, incluindo uma rodada Série A liderada pela Andreessen Horowitz. Críticos já haviam manifestado ceticismo, pois a startup conta com ex-funcionários da Palantir – a controversa empresa de mineração de dados – entre seus fundadores e equipe.

Ao ser alertada, a Partiful não possuía um canal público para relatar falhas de segurança. As cofundadoras Shreya Murthy e Joy Tao foram notificadas, e embora a vulnerabilidade estivesse supostamente "no radar da nossa equipe", a Partiful inicialmente propôs uma correção apenas para a "próxima semana". Dada a sensibilidade dos dados, o TechCrunch pressionou por uma solução imediata. A Partiful agiu, confirmando que o bug foi corrigido no sábado e que os metadados foram removidos retroativamente de todas as fotos já publicadas.

A correção foi feita, mas a Partiful não conseguiu confirmar se a falha resultou em algum acesso direto ou em massa aos dados de localização expostos. Um porta-voz da empresa disse que isso "ainda está sob investigação, mas não encontramos nenhuma evidência disso ainda".

Questionada sobre o motivo pelo qual a falha existiu em primeiro lugar e se havia encomendado uma análise de segurança do produto antes do lançamento (apesar de ter garantido que "realiza regularmente análises de segurança com especialistas na área"), a empresa não respondeu diretamente.

A combinação da falta de um canal de segurança e a lentidão inicial em tratar uma exposição de dados de localização tão íntima lança sérias dúvidas sobre as prioridades de segurança da startup, que se popularizou rapidamente no cenário social.

Via - TC