O Partiful, aplicativo de planejamento de eventos que se tornou uma alternativa moderna ao Facebook para convites sociais, foi alvo de uma grave falha de segurança que revelou a localização precisa (GPS) de seus usuários. A vulnerabilidade foi identificada pelo TechCrunch, que descobriu que o app não removia os metadados das imagens de perfil enviadas, possibilitando que qualquer pessoa com conhecimento básico rastreasse o local exato onde as fotos foram tiradas.
Conhecido por se autodenominar “Facebook para pessoas atraentes”, o Partiful evoluiu rapidamente para um robusto gráfico social, mapeando redes de amigos, atividades e números de telefone dos usuários. Porém, essa popularidade mascarava uma falha crítica de segurança: qualquer usuário podia acessar fotos brutas de perfil armazenadas no Google Firebase através de ferramentas de desenvolvedor em navegadores. Caso a foto contivesse coordenadas de latitude e longitude (dados EXIF), era possível identificar com precisão a residência ou local de trabalho da pessoa.
A exposição de dados de localização tão detalhados representa um risco sério, especialmente porque a remoção de metadados é considerada uma prática básica de segurança para plataformas que armazenam imagens de usuários.
A investigação surge em meio a questionamentos sobre as origens da startup, que já levantou mais de US$ 27 milhões em financiamento, incluindo uma rodada Série A liderada pela Andreessen Horowitz. Alguns críticos expressaram desconfiança, considerando que o time fundador conta com ex-funcionários da Palantir, conhecida por suas atividades de mineração de dados.
Quando alertada, a Partiful não possuía um canal público de reporte de vulnerabilidades. As cofundadoras Shreya Murthy e Joy Tao foram notificadas, e apesar de reconhecerem a falha, inicialmente propuseram uma correção apenas para a semana seguinte. Devido à sensibilidade dos dados, o TechCrunch pressionou por uma ação imediata. O problema foi resolvido no sábado seguinte, e os metadados foram removidos retroativamente de todas as fotos já publicadas.
Embora a correção tenha sido aplicada, a empresa não conseguiu confirmar se houve acesso direto ou em massa aos dados de localização. Um porta-voz afirmou que a situação “ainda está sob investigação, mas não há evidências até o momento”.
A ausência de um canal de segurança e a lentidão inicial em lidar com a exposição de dados sensíveis levantam dúvidas sobre as prioridades de proteção de dados do Partiful, que se popularizou rapidamente no cenário social.
