イベントスタートアップPartifulにプライバシーの脆弱性
「ホットな人々のためのFacebookイベント」を自称するイベントスタートアップ「Partiful」が、ユーザーがアップロードした写真からGPS位置情報を削除していなかったことが判明しました。TechCrunchの調査により、このセキュリティ上の欠陥が明らかになり、ユーザーのプライバシーが危険に晒されていた可能性があります。
Partifulは、レトロでマキシマリストな招待状を簡単に作成できるソーシャルイベント計画アプリとして人気を博し、iOS App Storeのライフスタイルチャートで9位にランクインし、Googleからは2024年の「ベストアプリ」と称されました。しかし、その急速な成長の裏で、ユーザーデータの取り扱いに関する重大な問題が浮上しました。
TechCrunchが発見した問題は、誰でもウェブブラウザの開発者ツールを使用するだけで、PartifulのGoogle Firebaseにホストされたバックエンドデータベースに保存されているユーザーの生プロフィール写真にアクセスできるというものでした。もしユーザーの写真に撮影場所の正確な位置情報が含まれていた場合、誰でもその写真が撮影された正確な座標を閲覧できてしまう状態でした。
写真メタデータとGPS情報の危険性
スマートフォンで撮影された写真のようなほとんどのデジタルファイルには、「メタデータ」と呼ばれる情報が含まれています。これには、ファイルサイズ、作成日時、作成者などの情報が含まれます。特に写真や動画の場合、使用されたカメラの種類や設定、そして正確な緯度経度座標といった情報が含まれることがあります。
このようなプライバシー侵害を防ぐため、ユーザーの画像や動画をホストする企業が、アップロード時にメタデータを自動的に削除することは一般的な慣行です。しかし、Partifulはこの慣行に従っていませんでした。
TechCrunchによる検証とPartifulの対応
TechCrunchは、サンフランシスコのモスコーン・ウェスト・コンベンションセンター外で撮影した、正確な位置情報を含む写真をPartifulのプロフィール写真としてアップロードし、この脆弱性を検証しました。その結果、Partifulのサーバーに保存された写真のメタデータには、数フィート単位で正確な撮影場所の座標が依然として含まれていることを確認しました。
このセキュリティ上の欠陥を発見した後、TechCrunchはPartifulの共同創設者であるShreya Murthy氏とJoy Tao氏に電子メールで連絡を取りました。Partifulはセキュリティ上の欠陥を報告する公開手段を持っていなかったためです。Tao氏はTechCrunchに対し、この脆弱性は「すでにチームのレーダーにあり、最近、今後の修正として優先順位が付けられた」と述べました。
Partifulは当初、「来週」までに修正するとのタイムラインを示しましたが、データの機密性を考慮し、TechCrunchは金曜日までの修正を要請しました。Partifulは土曜日までにバグを修正したことを確認し、TechCrunchは既存のユーザーアップロード写真からメタデータが削除されていることを確認しました。
調査の継続と企業の責任
Partifulの広報担当者であるJess Eames氏は、ユーザープロフィール写真への直接的または大量のアクセスがあったかどうかを判断するための技術的手段(ログなど)があるかというTechCrunchの質問に対し、「現在調査中だが、現時点ではその証拠は見つかっていない」と述べました。また、同社は「専門家と定期的にセキュリティレビューを実施している」と主張しましたが、その専門家の名前は明らかにしませんでした。
Partifulは2022年の設立以来、Andreessen Horowitzが主導する2,000万ドルのシリーズA資金調達ラウンドを含む、2,700万ドル以上の資金を投資家から調達しています。TechCrunchが共同創設者に対し、製品発売前にセキュリティレビューを依頼したかどうかを尋ねたところ、彼らは回答を避けました。