Partiful: Ürün Tanıtımı ve Destekleyici Ekosistem
Partiful, kendini “sıcak insanların Facebook etkinlikleri” olarak tanımlayan bir sosyal etkinlik planlama uygulamasıdır. Facebook’un etkinlik davetleri için hâkim konumunu hızla elinden almış olan Partiful, kullanıcı dostu ve şık tasarımı ile dikkat çekmektedir. Uygulama, kullanıcılarına retro ve maksimalist bir atmosferde çevrimiçi davetler oluşturma imkanı sunarken, misafirlerin etkinliklere katılımını onaylamasını da oldukça kolaylaştırmaktadır. Bu özellikleri, Partiful’u iOS App Store’da yaşam tarzı kategorisinde #9’a yerleştirmiştir. Önde gelen teknoloji firmalarından Google, Partiful’u 2024’ün “en iyi uygulaması” olarak nitelendirmiştir.
Veri Güvenliği Problemleri
Partiful’un büyümesi ve popülerliği, bazı kullanıcıları endişelendirirken uygulamanın veri güvenliği konusundaki eksiklikleri öne çıkmaktadır. Uygulama, kullanıcı verilerini toplama konusunda Facebook ile benzerlikler taşımaktadır ve bu durum, birçok kullanıcıda şüphe yaratmıştır. Özellikle New York City’den bir etkinlikçiler, Partiful’un kurucu ve bazı personelinin Palantir gibi veri çıkarım şirketlerinde çalışmış olduğunu ifade ederek uygulamayı boykot etme kararı almıştır. Palantir, Trump yönetiminin deportasyon önlemlerinin temelini oluşturan yazılımları üreten bir firma olarak bilinmektedir.
Kullanıcı Verilerinin Açığa Çıkması
TechCrunch, Partiful’u deneyimlemek için yeni bir hesap oluşturdu. Uygulamanın kullanıcıların yüklediği resimlerde konum verilerini kaldırmadığını gözlemledi. Geliştirici araçları kullanarak, Partiful’un arka uç veritabanındaki kullanıcı profil fotoğraflarına kolaylıkla erişebilirsiniz. Eğer bir kullanıcının fotoğrafı, çekildiği gerçek dünyadaki konumu içeriyorsa, bu veriler, diğer kullanıcılar tarafından da görülebiliyor.
Dijital dosyaların büyük çoğunluğu, metadata olarak adlandırılan ek bilgiler içerir. Bu bilgiler, dosya boyutu, ne zaman oluşturulduğu gibi temel bilgilerin yanı sıra, fotoğraflar ve videolar için, kullanılan kamera ve ayarlarına dair detayları da içerebilir. Bu metadata, fotoğrafın nerede çekildiğine dair latitude ve longitude bilgilerini de barındırmaktadır.
Güvenlik Açığının Sonuçları
Partiful’da bulunan güvenlik açığı, kullanıcıların profil fotoğraflarını paylaşmasının yanında, kişisel yaşam alanlarının kesin konumlarının da açığa çıkmasına yol açabilir. Bazı profil fotoğraflarında bulunan ayrıntılı konum verileri, özellikle kırsal alanlarda, kişilerin ev veya iş adreslerinin belirlenmesine neden olabilmektedir. Çoğu kullanıcı resim ve video barındıran firma, bu tür sorunların önüne geçebilmek için, yükleme sırasında metadata’yı otomatik olarak kaldırmaktadır.
TechCrunch, bu açığı doğrulamak amacıyla daha önce Moscone West Konferans Merkezi’nin önünde çekilmiş bir fotoğrafı yükledi. Bu fotoğrafın metadata’sında, çekildiği yerin tam koordinatları vardı. Partiful sunucusunda kaydedilen görüntülerde, fotoğrafın çekildiği yer hâlâ birkaç feet hassasiyetle görülüyordu.
Partiful’un Tepkisi ve Çözüm Süreci
Güvenlik açığını tespit ettikten sonra, TechCrunch, Partiful’un kurucu ortakları ile iletişime geçti. Partiful, kullanıcıların güvenlik açıklarını bildirebileceği bir kamusal platform sunmadığından dolayı, durum hemen bildirildi. Partiful’un kurucu ortaklarından Joy Tao, bu açığın “ekiplerinin radarında olduğunu” belirtmiş ve düzeltmek için öncelikli olarak ele alınacağını ifade etmiştir.
Başlangıçta, Partiful, sorunun çözüm tarihini “önümüzdeki hafta” olarak belirledi; ancak, söz konusu verilerin hassasiyeti dikkate alındığında, TechCrunch’ın talebi üzerine durum bir gün içinde düzeltilmiştir. TechCrunch, hafta sonu, daha önce yüklenmiş kullanıcı fotoğraflarının metadata bilgilerinin kaldırıldığını doğrulamıştır.
Veri Güvenliği İçin Alınacak Önlemler
Partiful’un sözcüsü Jess Eames, kullanıcı profil fotoğraflarına doğrudan veya toplu erişimin olup olmadığını anlamak için yapılan incelemelerin sürdüğünü belirtmiştir. Partiful, alanında uzmanlarla düzenli güvenlik denetimleri gerçekleştirdiklerini ve bu denetimlerin sadece bir seferlik olmadığını, sürekli bir süreç olarak devam ettiğini ifade etmiştir. Ancak, Eames, söz konusu uzmanların adını vermekten kaçınmıştır.
Kuruluş, 2022 yılında kurulduğundan bu yana 27 milyon dolardan fazla yatırım almıştır. Bu yatırımlar arasında, Andreessen Horowitz liderliğinde gerçekleşen 20 milyon dolarlık Serie A finansmanı bulunmaktadır. TechCrunch, Partiful’un ürün lansmanından önce güvenlik denetimi yaptırıp yaptırmadığını sorduğunda, bu konuda net bir bilgi verilmemiştir.
