Sosyal etkinlik planlama uygulaması Partiful, son yıllarda adeta Facebook’un parti davetleri alanındaki tahtını devraldı. Kendisini 'havalı insanlar için Facebook etkinlikleri' olarak tanımlayan bu platform, retro tarzı davetiyeleri ve kullanım kolaylığı sayesinde hızla popülerlik kazandı ve hatta Google tarafından 2024'ün 'en iyi uygulaması' seçildi. Ancak bu hızlı büyüme, Partiful’un kullanıcı verilerini yönetme biçimi ve gizlilik protokolleri hakkında ciddi soruları beraberinde getirdi.

Gizlilik Krizi: Fotoğrafların Ardındaki Görünmez Veriler

Akıllı telefonlarımızla çektiğimiz hemen hemen her dijital dosya, fotoğrafın ne zaman çekildiği, hangi cihazın kullanıldığı ve en kritik olanı; nerede çekildiğine dair hassas bilgileri içeren 'metadata' (üst veri) taşır. Bu veriler arasında, fotoğrafın çekildiği enlem ve boylam koordinatları (GPS konumu) da bulunur.

Teknoloji haber sitesi TechCrunch tarafından yürütülen bir inceleme, Partiful’un kullanıcılar tarafından yüklenen fotoğraf ve görsellerdeki bu konum verilerini otomatik olarak temizlemediğini ortaya çıkardı. Bu durum, özellikle kamusal profil fotoğrafları için büyük bir risk taşıyordu. Bir kullanıcı, sadece web tarayıcısının geliştirici araçlarını kullanarak Partiful’un Google Firebase sunucularında depolanan ham fotoğraf dosyalarına erişebilir ve fotoğrafın çekildiği tam GPS koordinatlarını görebilirdi. Kırsal bölgeler gibi daha az yoğun yerleşim yerlerinde bu hassas veri, kişinin ev ya da iş adresini kolayca ifşa edebilirdi.

Bu tür bir gizlilik ihlalini önlemek için, kullanıcı görsellerini barındıran teknoloji şirketlerinin yükleme sırasında meta veriyi otomatik olarak temizlemesi endüstri standardı bir uygulamadır. Partiful'un bu temel adımı atlaması, platformun güvenlik protokollerindeki önemli bir ihmali gözler önüne serdi.

Palantir Bağlantısı ve Güvenlik İhmali Tartışmaları

Partiful’un geçmişi, uygulamanın veri toplama politikaları hakkında şüpheleri artırıyor. Şeytanın avukatlığı prensibi çerçevesinde, kullanıcıların bir kısmı Partiful’un kurucularının ve bazı çalışanlarının, Peter Thiel'in tartışmalı veri madenciliği şirketi Palantir'in eski personeli olması nedeniyle platformu boykot etmişti. Palantir'in, özellikle göçmenlik ve sınır dışı etme faaliyetlerinde kullanılan yazılımlarla anılması, Partiful’un büyük miktarda kullanıcı verisi (telefon numaraları, sosyal çevre haritası vb.) toplamasıyla birleşince, platforma yönelik gizlilik endişelerini sürekli canlı tutuyordu. Bu son güvenlik açığı, bu endişelerin ne kadar yerinde olabileceğini gösterdi.

Şirketin Tepkisi ve Acil Yama Süreci

TechCrunch, keşfettiği güvenlik açığını Partiful eş kurucuları Shreya Murthy ve Joy Tao'ya e-posta yoluyla bildirdi. Şirket, açığın 'zaten ekiplerinin radarında' olduğunu ve düzeltme planlarının önceliklendirildiğini belirtti. Verinin hassasiyeti göz önüne alındığında, TechCrunch’ın acil düzeltme talebi üzerine Partiful, açığı hızla kapatarak mevcut kullanıcılardan yüklenen tüm fotoğraflardaki meta verileri Cumartesi günü itibarıyla temizledi.

Partiful sözcüsü Jess Eames, veritabanında depolanan kullanıcı fotoğraflarına yönelik herhangi bir doğrudan veya toplu erişim olup olmadığını araştırdıklarını, ancak henüz buna dair bir kanıt bulamadıklarını ifade etti. Şirket, düzenli güvenlik incelemeleri yaptığını iddia etse de, bu incelemeleri yapan güvenlik uzmanlarının isimlerini TechCrunch ile paylaşmayı reddetti.

Sonuç ve Kullanıcı Güveni: Bu olay, bir uygulamanın ne kadar trend veya popüler olursa olsun, temel güvenlik hijyenini sağlamasının ne kadar hayati olduğunu bir kez daha gösterdi. Partiful'un 27 milyon dolardan fazla yatırım toplamış dev bir girişim olmasına rağmen, böylesine temel bir güvenlik protokolünü gözden kaçırması, kullanıcı güvenini sarsabilecek önemli bir gelişme olarak kayıtlara geçti.

Partiful'un meta veri temizleme ihmali gibi temel güvenlik zafiyetleri, teknoloji şirketlerinin kullanıcı verisine yaklaşımındaki genel riskleri gözler önüne seriyor. Örneğin, güvenlik kamerası markası Eufy (Anker'in alt kuruluşu) da yapay zeka sistemlerini eğitmek amacıyla kullanıcılarına hırsızlık olaylarına ait videolarını paylaşmaları karşılığında video başına 2 ABD Doları ödediği bir kampanya yürütmüştü. Hatta bu kampanya kapsamında kullanıcılardan sahnelenmiş (gerçek olmayan) hırsızlık olaylarını kaydetmeleri dahi istenmişti. Bu durum, bir yandan kullanıcı verilerinin AI çağındaki ekonomik değerini gösterirken, diğer yandan güvenlik kameraları gibi en hassas cihazlardan gelen verilerin dahi nakit karşılığı toplanarak gizlilik tartışmalarını nasıl derinleştirdiğini ortaya koyuyor. Anker'e ait Eufy kameraların kullanıcılarına AI eğitimi için video karşılığında ödeme yapması ve bu süreçteki gizlilik tartışmaları hakkında daha fazla bilgiye Anker Eufy kamera sahiplerine AI eğitimi için 2 dolar ödediği gizlilik tartışması yazımızdan ulaşabilirsiniz.

Partiful örneği temel güvenlik hijyeninin önemini gösterse de, kurumsal dünyayı hedef alan tehditlerin ölçeği çok daha büyüktür. Örneğin, dijital inovasyon lideri Güney Kore’de bile parçalı siber savunma stratejisi nedeniyle 2025 yılında neredeyse her ay büyük bir veri ihlali yaşanmış, telekom devi SK Telecom’un 23 milyon müşterisi gibi devasa kayıplar rapor edilmiştir. Bu sistemik güvenlik krizinin detaylarına ve 2025 yılındaki aylık veri ihlallerine dair analizlere Güney Kore siber güvenlik krizi ve 2025 aylık veri ihlalleri haberimizden ulaşabilirsiniz. Ayrıca, Batı merkezli olduğu bilinen ve profesyonel siber şantaj taktikleri kullanan ShinyHunters hacker grubu, kısa süre önce Salesforce bulut tabanında tutulan müşterilere ait yaklaşık 1 milyar kaydı ele geçirdiğini duyurmuştur. Bu olay, verilerin büyüklüğü ve hassasiyeti ne olursa olsun, hiçbir platformun siber suçluların hedefinden kaçamayacağını kanıtlıyor. Bu ölçekte kurumsal veri güvenliği ihlallerinin detaylarına ShinyHunters hacker grubu tarafından gerçekleştirilen Salesforce veri tabanı hırsızlığı haberimizden ulaşabilirsiniz.

Kaynak: Partiful Güvenlik Açığı Raporu: TechCrunch