概要:ユーザーのプライバシー侵害の可能性
イベントスタートアップのPartifulが、ユーザーがアップロードした写真からGPS位置情報を削除していなかったことが判明しました。このセキュリティ欠陥により、ユーザーのプロフィール写真に含まれる正確な位置情報が、誰でもアクセス可能な状態になっていた可能性があります。
Partifulとは?その背景にある懸念
Partifulは「イケてる人たちのためのFacebookイベント」を自称するソーシャルイベント計画アプリで、iOS App Storeのライフスタイルチャートで9位にランクインするなど、急速に人気を集めています。しかし、その人気とは裏腹に、一部のユーザーからは同社の創設者やスタッフがデータマイニング企業Palantirの元従業員であることに対する懸念が表明されていました。
発覚したセキュリティ欠陥の詳細
TechCrunchがPartifulのセキュリティを調査したところ、アプリがユーザーがアップロードした画像、特に公開プロフィール写真から位置情報データを削除していないことが明らかになりました。ウェブブラウザの開発者ツールを使用するだけで、誰でもGoogle Firebaseに保存されている生のユーザープロフィール写真にアクセスでき、写真にGPS座標が含まれていれば、その正確な撮影場所を特定することが可能でした。
スマートフォンで撮影されたほとんどのデジタルファイルには、撮影日時、使用されたカメラの種類、設定、そして正確な緯度と経度の座標などのメタデータが含まれています。この欠陥は、特に地方では個人の家を特定しやすいなど、ユーザーの自宅や職場を特定するリスクをはらんでいました。
業界の常識とTechCrunchによる検証
ユーザーがアップロードする画像や動画をホストする企業にとって、プライバシー侵害を防ぐためにメタデータを自動的に削除することは一般的な慣行です。TechCrunchは、サンフランシスコのモスコーン・ウェスト・コンベンションセンター外で撮影したGPS座標を含む写真をPartifulにアップロードし、このバグを検証しました。その結果、Partifulのサーバーに保存された写真のメタデータには、数フィートの精度で正確な位置情報が残されていることが確認されました。
Partifulの対応と迅速な修正
TechCrunchはセキュリティ欠陥を発見後、Partifulの共同創設者であるShreya Murthy氏とJoy Tao氏に連絡を取りました。Partifulは当初「来週中」の修正を予定していましたが、データの機密性を考慮し、TechCrunchの要請を受けて土曜日までにバグを修正しました。TechCrunchは、既存のユーザーアップロード写真からもメタデータが削除されたことを確認しました。
今後の調査とセキュリティ対策
Partifulの広報担当者Jess Eames氏は、ユーザープロフィール写真への直接的または大量のアクセスがあったかどうかについては「現在調査中だが、現時点では証拠は見つかっていない」と述べました。同社は「分野の専門家と定期的にセキュリティレビューを実施している」と強調していますが、専門家の名前は明らかにしていません。
Partifulは2022年の設立以来、Andreessen Horowitzが主導したシリーズAラウンドを含む2,700万ドル以上の資金を調達しています。TechCrunchは、製品発売前にセキュリティレビューを依頼したかどうかを共同創設者に尋ねましたが、回答は得られませんでした。