Partiful: David ve Goliath Hikayesi
Partiful adlı sosyal etkinlik planlama uygulaması, kendisini “sıradışı insanların etkinlikleri için Facebook” olarak tanıtıyor. Bu uygulama, Facebook‘u etkinlik davetleri için bir numaralı platform olarak geride bıraktı. Ancak Partiful’un Facebook ile paylaştığı bir başka ortak nokta ise, kullanıcı verilerini kaydetmesi ve bu verileri güvenli bir şekilde korumada yetersiz kalması.
Trend ve Kullanıcı Dostu Tasarım
Partiful, kullanıcıların etkinlik davetleri oluşturmasını sağlayarak, retro ve maksimalist bir görünüm sunuyor. Kullanıcıların etkinliklere RSVP yapması, adeta bir dokunmatik ekrandan salata sipariş vermek kadar kolay. Uygulama, kullanıcı dostu olması ve trendleri yakalaması nedeniyle iOS App Store‘da Yaşam Tarzı kategorisinde #9. sıraya yerleşti. Google, Partiful’u 2024 yılının “en iyi uygulaması” olarak nitelendirdi.
Kullanıcı Verilerinin Gizliliği Tehlikede Mi?
Partiful, kullanıcı ağı açısından oldukça güçlü bir platforma dönüşerek, arkadaşlarınızın kimler olduğunu, neler yaptığınızı ve hangi etkinliklere katıldığınızı kolayca haritalıyor. Ancak, bu popülarite bazı kullanıcıları endişelendiriyor. Örneğin, bir New York’lu organizatör, Partiful’un kurucularının ve bazı çalışanlarının, Palantir‘da çalışmış olmalarından dolayı uygulamayı boykot ettiğini duyurdu. Palantir, Peter Thiel’in veri madenciliği şirketi olarak dikkat çekiyor ve göçmenlik yasası için geliştirilen yazılımlara imza atıyor.
Güvenlik Açığı ve Kullanıcı Verileri
TechCrunch, bazı iddiaları araştırmak üzere Partiful’a yeni bir hesap açtı. Yapılan incelemede, uygulamanın kullanıcıların yüklediği fotoğraflardan konum verilerini silmediği anlaşıldı. Kullanıcıların profil fotoğrafları, yalnızca bir web tarayıcısındaki geliştirici araçları kullanılarak erişilebilen veritabanındaki ham fotoğrafları içeriyordu. Eğer bir fotoğraf, çekildiği yerin tam konumunu içeriyorsa, başkaları da bu noktayı görebiliyordu.
Dijital dosyalar, özellikle akıllı telefonlarla çekilen fotoğraflar genellikle metadata içerir. Bu veriler dosyanın yaratıldığı zamanı, hangi cihazla çekildiğini ve bazen de fotoğrafın çekildiği tam konumun koordinatlarını bulundurur. Bu güvenlik açığı, Partiful kullanıcılarının profil fotoğraflarının çekildiği yerlerin konumlarını ifşa edebilme riski taşımaktadır. Özellikle kırsal bölgelerde, bireysel evlerin harita üzerinde belirgin olmasından ötürü bu durum daha tehlikeli hale geliyor.
Durumu Düzeltmek için Adımlar Atılıyor
TechCrunch, bu güvenlik açığını keşfettikten sonra, Partiful’un kurucuları Shreya Murthy ve Joy Tao‘ya e-posta göndererek durumu bildirdi. Partiful’da kamuya açık bir güvenlik hatası raporlama kanalı bulunmamaktadır. TechCrunch, bir kullanıcının ham profil fotoğrafındaki gerçek dünya konumunu içeren bir bağlantı gönderdi.
Tao, TechCrunch’a verdiği demeçte, bu güvenlik açığının “ekibimizin radarında olduğunu ve yakın zamanda çözüm için önceliklendirildiğini” belirtti. Başlangıçta, açıkların haftalık bir süre içinde düzeltileceğini bildirdiler, ancak TechCrunch, verilerin hassasiyeti nedeniyle sorunun daha hızlı çözülmesini talep etti. Partiful, bu hatayı Cumartesi günü itibarıyla düzelttiklerini duyurdu.
TechCrunch, düzelttikten sonra yüklenen profil fotoğraflarındaki metadata’nın kaldırıldığını doğruladı. Uygulamada yüklediğimiz profil fotoğrafında, gerçek konum bilgisi artık yer almıyordu. Partiful, güvenlik açığını bir tweet ile duyurdu.
TechCrunch, Partiful’a, kullanıcı fotoğraflarına her hangi bir doğrudan veya toplu erişim olup olmadığını tespit etme teknik imkanlarının mevcut olup olmadığını sordu. Partiful’un sözcüsü Jess Eames, bu durumun “hala araştırma aşamasında olduğunu, ancak şu ana kadar herhangi bir bulguya rastlamadıklarını” belirtti.
Eames, şirketin “uzmanlarla düzenli güvenlik incelemeleri gerçekleştirdiğini” ifade etti. Ancak, TechCrunch, uzmanların kimlikleriyle ilgili bilgi almayı talep ettiğinde bu konuda net bir yanıt verilmedi.
Partiful, 2022’de kurulduğundan bu yana 27 milyon dolardan fazla yatırım aldı. Bu yatırımlar arasında Andreessen Horowitz tarafından yönetilen 20 milyon dolarlık Seri A finansman turu da yer almakta. TechCrunch, kuruculara ürünlerinin lansmanından önce bir güvenlik incelemesi yaptırıp yaptırmadıklarını sordu ancak bu konuda bir yanıt gelmedi.
