Die beliebte Event-Planungs-App Partiful hat eine schwerwiegende Sicherheitslücke geschlossen, durch die die genauen Standortdaten aus den Profilfotos der Nutzer zugänglich waren. Unbekannte hätten potenziell die Wohn- oder Arbeitsorte von Nutzern ermitteln können, da die App die sogenannten Metadaten der Bilder nicht entfernte. Das Problem wurde von TechCrunch aufgedeckt und vom Unternehmen nach der Benachrichtigung behoben.
Wichtige Erkenntnisse
- Eine Sicherheitslücke in der Partiful-App ermöglichte den Zugriff auf GPS-Koordinaten, die in Nutzer-Profilbildern gespeichert waren.
- Die App versäumte es, Metadaten (EXIF-Daten) beim Hochladen von Bildern automatisch zu entfernen, was ein Standardverfahren zum Schutz der Privatsphäre ist.
- Durch die Schwachstelle hätten sensible Orte wie Wohnadressen oder Arbeitsplätze von Nutzern identifiziert werden können.
- Partiful hat die Lücke nach einer Meldung von TechCrunch geschlossen und bestätigt, dass Metadaten nun von allen hochgeladenen Fotos entfernt werden.
Sicherheitslücke legte präzise GPS-Daten offen
Die Social-Event-App Partiful, die sich als moderne Alternative zu Facebook-Veranstaltungen positioniert hat, stand im Zentrum einer Datenschutzuntersuchung. Ein von TechCrunch entdeckter Fehler in der Software führte dazu, dass die App die in Fotos eingebetteten Standortinformationen nicht wie üblich löschte.
Diese als Metadaten oder EXIF-Daten bekannten Informationen werden von den meisten modernen Smartphones und Digitalkameras automatisch zu jeder Aufnahme hinzugefügt. Sie enthalten Details wie Kameramodell, Belichtungszeit und oft auch die exakten GPS-Koordinaten des Aufnahmeorts.
Was sind Metadaten in Fotos?
Fast jede digitale Datei enthält Metadaten. Bei Fotos sind dies Informationen, die über das eigentliche Bild hinausgehen. Dazu gehören technische Details zur Aufnahme und, falls die Standortermittlung am Gerät aktiviert ist, auch Längen- und Breitengrade. Diese Daten können sehr präzise sein und einen Standort auf wenige Meter genau bestimmen.
Die Sicherheitslücke bei Partiful ermöglichte es jedem, mit einfachen Werkzeugen, die in Webbrowsern standardmäßig enthalten sind, auf die Originalversion der Profilbilder zuzugreifen. Diese waren in der Backend-Datenbank des Unternehmens, die auf Google Firebase gehostet wird, ungeschützt gespeichert. Wenn ein Foto diese Standortdaten enthielt, konnten sie direkt ausgelesen werden.
Das Risiko für die Privatsphäre der Nutzer
Die Folgen einer solchen Schwachstelle sind erheblich. Die offengelegten GPS-Koordinaten hätten es Dritten ermöglichen können, die genauen Orte zu ermitteln, an denen die Profilfotos aufgenommen wurden. In vielen Fällen handelt es sich dabei um private Orte wie die eigene Wohnung, den Arbeitsplatz oder häufig besuchte Plätze.
Besonders in ländlichen Gebieten, wo einzelne Häuser auf einer Karte leicht zu identifizieren sind, hätte dies ein ernsthaftes Sicherheitsrisiko dargestellt. Es ist gängige Praxis für Online-Plattformen, die von Nutzern hochgeladene Inhalte hosten, solche Metadaten automatisch zu entfernen, um genau solche Datenschutzprobleme zu verhindern.
Über 27 Millionen Dollar an Investitionen
Partiful hat seit seiner Gründung im Jahr 2022 mehr als 27 Millionen US-Dollar von Investoren erhalten. Eine bedeutende Finanzierungsrunde der Serie A in Höhe von 20 Millionen US-Dollar wurde von der bekannten Risikokapitalgesellschaft Andreessen Horowitz angeführt.
Um die Lücke zu verifizieren, lud TechCrunch ein Test-Profilbild hoch, das zuvor mit bekannten GPS-Koordinaten in San Francisco aufgenommen worden war. Eine anschließende Überprüfung der auf dem Partiful-Server gespeicherten Datei bestätigte, dass die exakten Standortdaten unverändert vorhanden waren.
Reaktion von Partiful und Behebung des Problems
Nach der Entdeckung des Problems kontaktierte TechCrunch die Mitbegründerinnen von Partiful, Shreya Murthy und Joy Tao, per E-Mail, da das Unternehmen keine öffentliche Meldestelle für Sicherheitsprobleme unterhält. Als Beweis wurde ein Link zu einem Profilfoto eines Nutzers mitgesendet, dessen Standortdaten auf eine Wohnadresse in Manhattan verwiesen.
Tao teilte TechCrunch am Freitag mit, dass die Schwachstelle „unserem Team bereits bekannt war und kürzlich als bevorstehende Korrektur priorisiert wurde“.
Partiful gab zunächst an, die Lücke „nächste Woche“ schließen zu wollen. Angesichts der Sensibilität der Daten bat TechCrunch um eine schnellere Lösung. Das Unternehmen bestätigte daraufhin, dass der Fehler am Samstag behoben wurde. Überprüfungen zeigten, dass die Metadaten sowohl bei neu hochgeladenen als auch bei bereits bestehenden Fotos entfernt worden waren.
Kurz vor der Veröffentlichung des Berichts informierte Partiful die Öffentlichkeit über den Vorfall in einem Tweet. Auf die Frage, ob das Unternehmen feststellen könne, ob die Daten missbraucht wurden, antwortete eine Sprecherin, dass dies „noch untersucht wird, wir aber bisher keine Beweise dafür gefunden haben“.
Hintergrund der Gründer sorgt für Diskussionen
Die App erfreut sich großer Beliebtheit und erreichte Platz 9 in den iOS-Lifestyle-Charts. Google bezeichnete Partiful sogar als die „beste App“ des Jahres 2024. Trotz des Erfolgs gibt es in der Nutzerschaft auch Skepsis, die sich auf die berufliche Vergangenheit der Gründer und einiger Mitarbeiter bezieht.
Mehrere Teammitglieder, einschließlich der Gründerinnen, sind ehemalige Angestellte von Palantir, dem Datenanalyse-Unternehmen von Peter Thiel. Palantir ist bekannt für die Entwicklung von Software, die von Regierungsbehörden wie der US-Einwanderungs- und Zollbehörde (ICE) genutzt wird. Diese Verbindung hat bei einigen Nutzern Bedenken hinsichtlich des Umgangs mit Daten bei Partiful hervorgerufen.
Ob das Unternehmen vor dem Start eine umfassende Sicherheitsüberprüfung seines Produkts in Auftrag gegeben hat, wollten die Gründer auf Nachfrage nicht beantworten. Die Sprecherin Jess Eames erklärte lediglich, dass das Unternehmen „regelmäßig Sicherheitsüberprüfungen mit Experten auf diesem Gebiet durchführt, nicht nur als einmalige Maßnahme, sondern als Teil unserer laufenden Prozesse“.
