Una semplice foto, un rischio enorme per la privacy Partiful, l'app di tendenza per organizzare eventi, è finita al centro di una bufera sulla privacy. Una grave falla di sicurezza permetteva a chiunque di scoprire la posizione esatta in cui erano state scattate le foto caricate dagli utenti, incluse quelle del profilo. Un rischio enorme, che avrebbe potuto rivelare indirizzi di casa, luoghi di lavoro e abitudini di milioni di persone senza che queste ne fossero a conoscenza. Cos'è Partiful e perché se ne parla Definita "il Facebook Events per la gente cool", Partiful ha conquistato tutti con la sua interfaccia colorata e la sua incredibile semplicità d'uso. Creare un invito per una festa è facile come ordinare un'insalata online. Questo successo l'ha proiettata in cima alle classifiche degli store, tanto da essere nominata "migliore app" del 2024 da Google. Ma dietro l'apparenza trendy e spensierata, si nascondeva un problema di sicurezza non da poco, che metteva in discussione la gestione dei dati degli utenti. La scoperta: come le coordinate GPS finivano online Il problema risiede nei metadati EXIF, quelle informazioni "nascoste" dentro ogni file digitale. Quando scattiamo una foto con lo smartphone, il file non contiene solo l'immagine, ma anche dati come il modello del telefono, la data e, appunto, le coordinate GPS precise del luogo dello scatto. È una prassi standard per le piattaforme online rimuovere automaticamente questi dati per proteggere la privacy. Partiful, a quanto pare, si era dimenticata di farlo. La scoperta è stata fatta dai giornalisti di TechCrunch, che hanno condotto un test molto semplice. Hanno caricato una foto profilo scattata in un punto noto di San Francisco. Successivamente, usando i semplici strumenti per sviluppatori presenti in qualsiasi browser, hanno potuto accedere alla foto originale sui server di Partiful e confermare che le coordinate GPS erano ancora lì, intatte e perfettamente leggibili. Questo significa che chiunque, con un minimo di competenza tecnica, avrebbe potuto fare lo stesso con la foto di qualsiasi utente, scoprendo luoghi estremamente sensibili come l'indirizzo di casa, specialmente in aree meno densamente popolate. L'ombra di Palantir e i dubbi sulla gestione dei dati A gettare un'ombra ulteriore sulla vicenda c'è il background dei fondatori di Partiful. Molti di loro, infatti, provengono da Palantir, la controversa società di data mining di Peter Thiel, nota per aver fornito software utilizzato per operazioni di sorveglianza e controllo governativo. Questa connessione aveva già sollevato scetticismo in una parte della community, preoccupata per come l'app potesse gestire la mole di dati raccolti: amicizie, partecipazioni a eventi, numeri di telefono. La scoperta della falla non ha fatto che alimentare questi sospetti, sollevando interrogativi sulla cultura aziendale riguardo alla protezione dei dati. La soluzione (tardiva) e la risposta dell'azienda Una volta allertata da TechCrunch, l'azienda ha inizialmente dichiarato che il problema era "già sul radar del team" e che una soluzione era prevista per la settimana successiva. Vista la gravità della situazione e il rischio per gli utenti, i giornalisti hanno insistito per un intervento più rapido. Fortunatamente, Partiful ha agito, risolvendo la vulnerabilità nel giro di 24 ore. L'intervento ha rimosso i metadati da tutte le foto già caricate sulla piattaforma e ha implementato la pulizia automatica per tutti i nuovi upload. L'azienda ha poi comunicato l'avvenuta risoluzione con un tweet, poco prima della pubblicazione dell'articolo di denuncia. Cosa ci insegna il caso Partiful Resta però una domanda fondamentale: come ha potuto un'app che gestisce i dati di milioni di persone, e che ha raccolto oltre 27 milioni di dollari in finanziamenti, commettere una svista così basilare sulla privacy? Partiful non ha voluto chiarire se avesse condotto degli audit di sicurezza approfonditi prima del lancio. Questo caso è un potente promemoria. Per le aziende, ci ricorda l'importanza cruciale di integrare la privacy fin dalla progettazione ("privacy by design"). Per noi utenti, è un invito a essere più consapevoli delle tracce digitali che lasciamo online. A volte, una semplice foto profilo può raccontare molto più di quanto immaginiamo.