ソーシャルイベントプランニングアプリ「パーティフル」は、ユーザーがアップロードした画像の位置情報を削除していないことが判明したと発表しました。
パーティフルは、ユーザーがオンラインでイベントの招待状を作成し、ゲストが簡単に参加表明できるプラットフォームです。トレンドを意識したデザインが人気となり、iOSアプリストアのライフスタイル部門で9位にランクインしました。
しかし、同社が収集する膨大なユーザーデータの管理に関して、一部のユーザーから懸念が寄せられていました。特に、ユーザーがアップロードした画像に含まれる位置情報が削除されていないことが問題視されています。
テッククランチが新しいアカウントを作成してテストしたところ、ユーザーのプロフィール写真の位置情報がそのまま保持されていることが確認されました。これは、Google Firebaseに保存されたユーザーの生データにアクセスすることで確認できました。
デジタルファイルには通常、メタデータが含まれており、写真や動画の場合、撮影場所の緯度経度などが記録されています。このメタデータが削除されないと、ユーザーの自宅や職場などの位置が特定される恐れがあります。
テッククランチは、サンフランシスコのモスコーネ・ウエスト・コンベンションセンターで撮影した写真をアップロードし、パーティフルのサーバーに保存された写真のメタデータを確認しました。その結果、撮影場所の正確な座標が依然として含まれていることが分かりました。
この問題を受けて、テッククランチはパーティフルの共同創業者であるシュレヤ・ムルティ氏とジョイ・タオ氏にメールで通知しました。同社はこの問題を「すでに認識しており、優先的に修正する予定」としていました。
パーティフルは、当初「来週までに修正する」としていましたが、データの機密性を考慮し、テッククランチは金曜日までの修正を要請しました。パーティフルは土曜日に修正を完了したと確認しました。
修正後、テッククランチは、既存のユーザーアップロード画像からメタデータが削除されていることを確認しました。パーティフルはこのセキュリティ問題をツイートで公表しました。
テッククランチがパーティフルに、データベース内のユーザー画像へのアクセスログがあるかどうかを尋ねたところ、同社は「現在調査中であり、証拠は見つかっていない」と述べました。パーティフルは、セキュリティ専門家と定期的にレビューを行っているとしていますが、専門家の名前については明かしませんでした。
パーティフルは2022年の創業以来、アンドリーセン・ホロウィッツが主導する2000万ドル(約31億円)のシリーズAラウンドを含め、2700万ドル(約42億円)以上の資金を調達しています。テッククランチは、製品の発売前にセキュリティレビューを行ったかどうかを尋ねましたが、回答は得られませんでした。