امنیت

حذف موقعیت مکانی GPS از تصاویر بارگذاری شده توسط کاربران در Partiful

1 روز پیش
1 روز پیش
0 نظر

اپلیکیشن برنامه‌ریزی رویدادهای اجتماعی Partiful که خود را «رویدادهای فیسبوکی برای افراد جذاب» می‌نامد، جای فیسبوک را به عنوان پلتفرم اصلی برای ارسال دعوت‌نامه‌های مهمانی گرفته است. اما Partiful یک ویژگی مشترک دیگر هم با فیسبوک دارد: جمع‌آوری سونامی از داده‌های کاربران. در این زمینه، Partiful می‌توانست عملکرد بهتری در حفظ امنیت این داده‌ها داشته باشد.

در Partiful، برگزارکنندگان می‌توانند دعوت‌نامه‌های آنلاین با حال و هوای قدیمی و پر زرق و برق ایجاد کنند و مهمانان هم می‌توانند با همان سهولتی که یک سالاد را از طریق یک صفحه لمسی سفارش می‌دهند، به رویدادها پاسخ مثبت یا منفی بدهند. هدف Partiful این است که هم کاربرپسند باشد و هم مطابق مد روز، و همین موضوع باعث شده که این اپلیکیشن به رتبه ۹ در نمودارهای سبک زندگی فروشگاه اپلیکیشن iOS برسد. گوگل، Partiful را “بهترین اپلیکیشن” سال ۱۴۰۳ نامید.

حالا Partiful به یک شبکه اجتماعی قدرتمند شبیه فیسبوک تبدیل شده است که به راحتی می‌تواند مشخص کند دوستان شما چه کسانی هستند، دوستانِ دوستانِ شما چه کسانی هستند، چه کار می‌کنید، کجا می‌روید و شماره تلفن‌های شما چیست.

با محبوب‌تر شدن Partiful، برخی از کاربران نسبت به خاستگاه این شرکت بدبین شدند. یکی از برگزارکنندگان مهمانی در نیویورک اعلام کرد که Partiful را تحریم می‌کند، زیرا بنیانگذاران و برخی از کارکنان آن، کارمندان سابق شرکت داده‌کاوی Palantirِ پیتر تیل هستند. این شرکت نرم‌افزاری تولید می‌کند که پایگاه داده اصلی ICE را برای سرکوب مهاجران در دولت ترامپ تامین می‌کند.

با توجه به گمانه‌زنی‌های موجود در مورد این اپلیکیشن، خبرنگار یک حساب کاربری جدید ایجاد و Partiful را آزمایش کرد. ما به زودی متوجه شدیم که این اپلیکیشن، داده‌های مکانی عکس‌های آپلود شده توسط کاربران، از جمله عکس‌های پروفایل عمومی را حذف نمی‌کند.

خبرنگار متوجه شد که هر کسی، فقط با استفاده از ابزارهای توسعه‌دهنده در یک مرورگر وب، می‌تواند به عکس‌های پروفایل خام کاربران که در پایگاه داده پشتیبان Partiful میزبانی شده در Google Firebase ذخیره شده‌اند، دسترسی پیدا کند. اگر عکس کاربر حاوی موقعیت دقیق واقعی مکانی باشد که در آن گرفته شده است، هر کس دیگری نیز می‌توانسته مختصات دقیق مکانی را که عکس در آن گرفته شده است، مشاهده کند.

تقریباً همه فایل‌های دیجیتال، مانند تصاویری که با گوشی هوشمند می‌گیرید، حاوی فراداده (Metadata) هستند که شامل اطلاعاتی مانند اندازه فایل، زمان ایجاد آن و توسط چه کسی است. در مورد عکس‌ها و فیلم‌ها، فراداده می‌تواند شامل اطلاعاتی در مورد نوع دوربین مورد استفاده و تنظیمات آن، و همچنین مختصات دقیق طول و عرض جغرافیایی مکانی باشد که تصویر در آن گرفته شده است.

این نقص امنیتی مشکل‌ساز است، زیرا هر کسی که از Partiful استفاده می‌کند، می‌توانسته موقعیت مکانی عکس پروفایل یک شخص را فاش کند. برخی از عکس‌های پروفایل کاربران Partiful حاوی داده‌های مکانی بسیار دقیقی بودند که می‌توانست برای شناسایی خانه یا محل کار فرد استفاده شود، به ویژه در مناطق روستایی که تشخیص خانه‌های منفرد روی نقشه آسان‌تر است.

این یک رویه معمول برای شرکت‌هایی است که میزبان تصاویر و فیلم‌های کاربران هستند تا به طور خودکار پس از آپلود، فراداده را حذف کنند تا از بروز چنین مشکلاتی در حریم خصوصی جلوگیری شود.

خبرنگار این باگ را شخصاً تأیید کرد. ما یک عکس پروفایل جدید در Partiful آپلود کردیم که قبلاً از بیرون مرکز همایش‌های Moscone West در سانفرانسیسکو گرفته بودیم و حاوی موقعیت دقیق عکس بود. وقتی فراداده عکس ذخیره شده روی سرور Partiful را بررسی کردیم، همچنان حاوی مختصات دقیق مکانی بود که تصویر در آن گرفته شده بود، حتی با دقت چند فوت.

a photo showing the outside front doors of Moscone West in San Francisco.
عکس پروفایل خبرنگار که حاوی مختصات GPS بود و در Partiful آپلود شد.Image Credits:TechCrunch
a photo showing a Google Maps dot where the photo of outside Moscone West was taken.
موقعیت مکانی که عکس پروفایل Partiful ما در آن گرفته شده است روی نقشه گوگل.Image Credits:TechCrunch

پس از کشف این نقص امنیتی، خبرنگار از طریق ایمیل به شریا مورتی و جوی تائو، بنیانگذاران Partiful، هشدار داد، زیرا Partiful وسیله‌ای عمومی برای گزارش نقص‌های امنیتی ندارد. خبرنگار لینکی از عکس پروفایل خام یکی از کاربران Partiful را به اشتراک گذاشت که حاوی موقعیت واقعی آن کاربر در زمان گرفته شدن عکس، یک آدرس مسکونی در منهتن بود.

تائو روز جمعه به خبرنگار گفت که این آسیب‌پذیری “از قبل در رادار تیم ما بوده است و اخیراً به عنوان یک اصلاحیه قریب‌الوقوع در اولویت قرار گرفته است.”

Partiful در ابتدا جدول زمانی برای رفع این نقص تا “هفته آینده” ارائه کرد، اما با توجه به حساسیت داده‌های موجود، Partiful این باگ را تا روز شنبه به درخواست خبرنگار برطرف کرد.

خبرنگار روز شنبه تأیید کرد که فراداده از عکس‌های آپلود شده موجود کاربران حذف شده است. فراداده از عکس پروفایلی که ما با موقعیت واقعی خود آپلود کرده بودیم نیز حذف شده بود.

Partiful این مشکل امنیتی را در توییتی اندکی قبل از انتشار این خبر فاش کرد.

وقتی خبرنگار از Partiful پرسید که آیا این شرکت ابزارهای فنی، مانند گزارش‌ها، برای تعیین اینکه آیا دسترسی مستقیم یا انبوهی به عکس‌های پروفایل کاربران ذخیره شده در پایگاه داده خود وجود داشته است یا خیر، جس ایمز، سخنگوی Partiful، گفت که این موضوع “هنوز در دست بررسی است، اما ما هنوز هیچ مدرکی در این مورد پیدا نکرده‌ایم.”

ایمز گفت که این شرکت “به طور منظم بررسی‌های امنیتی را با متخصصان این حوزه انجام می‌دهد، نه فقط به عنوان یک اقدام یکباره، بلکه به عنوان بخشی از فرآیندهای مستمر ما.” Partiful نام این متخصصان را در صورت درخواست به خبرنگار ارائه نکرد.

Partiful از زمان تأسیس خود در سال ۱۴۰۱، بیش از ۲۷ میلیون دلار از سرمایه‌گذاران جمع‌آوری کرده است، از جمله یک دور سرمایه‌گذاری ۲۰ میلیون دلاری سری A به رهبری Andreessen Horowitz. خبرنگار از بنیانگذاران Partiful پرسید که آیا آنها قبل از عرضه محصول خود، بررسی امنیتی را سفارش داده بودند یا خیر، اما پاسخی ندادند.

اشتراک‌ها:
دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *