Necazurile lui Peloton continuă cu scurgerea expunerii datelor de utilizator privat

Anul 2021 al Peloton se mută din rău în rău pe măsură ce apar rapoarte despre o potențială încălcare a datelor. Încălcarea pare să provină dintr-un API expus care a permis oricui să extragă informațiile private ale membrilor Peloton, inclusiv cei cu cele mai private setări de date.

Înrăutățind lucrurile, cercetătorul în domeniul securității a dezvăluit în mod responsabil descoperirea API-ului expus către Peloton în ianuarie 2021 folosind termenul-limită standard de 90 - dar se pare că Peloton a remediat eroarea în intervalul de timp.

Peloton presupune a fi expus datele abonatului

Raportat pentru prima dată de Zack Whittaker pentru TechCrunch, API-ul expus a permis oricui să extragă datele contului de utilizator privat de pe serverele Peloton, indiferent de starea contului. Conform descrierii Whittaker:

La jumătatea antrenamentului de luni după-amiază săptămâna trecută, am primit un mesaj de la un cercetător în domeniul securității cu o captură de ecran a datelor contului meu Peloton. Profilul meu Peloton este setat la privat, iar lista prietenilor mei este în mod deliberat zero, astfel încât nimeni nu-mi poate vedea profilul, vârsta, orașul sau istoricul antrenamentelor.

instagram viewer

Raportul a venit de la Jan Masters, cercetător în securitate la Parteneri de testare stilou. Maeștrii au descoperit că ar putea face cereri API neautorizate către serverele Peloton. Solicitările au returnat date, inclusiv:

• ID-uri de utilizator
• ID-uri de instructor
• Membru al grupului
• Locație
• Statistici de antrenament
• Sex și vârstă
• Dacă sunt sau nu în studio

După descoperirea potențialei încălcări a datelor, Masters a dezvăluit în mod responsabil API-ul scurgeri către Peloton. Cele mai multe dezvăluiri responsabile oferă furnizorului de servicii 90 de zile pentru a remedia eroarea, ceea ce a făcut Masters.

Cu toate acestea, se pare că, mai degrabă decât repararea completă a vulnerabilității, Peloton inițial a limitat doar accesul API la membrii săi. În acel moment, oricine ar putea crea un cont nou cu un abonament lunar și îl poate folosi pentru a accesa API-ul.

În ciuda contactelor suplimentare din partea Pen Test Partners, Peloton a rămas fără răspuns până când compania de cercetare a securității a contactat Peloton pentru explicații suplimentare.

La scurt timp după contactul cu biroul de presă din Peloton, am avut contact direct de la CISO al lui Peloton, care era nou în funcție. Vulnerabilitățile au fost în mare parte remediate în termen de 7 zile. Este păcat că nu s-a răspuns la dezvăluirea noastră în timp util și, de asemenea, este o rușine că a trebuit să implicăm un jurnalist pentru a fi ascultați.

TechCrunch a susținut știrile despre scurgerea API până când Peloton a rezolvat problema, pe care o are de atunci.

Legate de: Peloton vs. Nordictrack vs. Echelon: Cel mai bun antrenor de biciclete de interior

Peloton's 2021 Pe o pistă accidentată

Peloton a fost un vizitator frecvent la titluri și nu întotdeauna din motive întemeiate. Banda de alergare Peloton Tread + este reamintită după moartea tragică a unui copil mic și mai multe cazuri de rănire. În același timp, sunt solicitate anchete suplimentare asupra altor produse Peloton pentru a verifica problemele de securitate.

Legate de: Peloton luptă împotriva unei reamintiri de siguranță a benzii sale de rulare + banda de alergare

Dacă dețineți o bandă de alergat Peloton Tread +, produsul a fost reamintit oficial la 5 mai 2021. Pagina Recall Peloton oferă mai multe informații despre primirea unei rambursări complete și returnarea benzii de alergat.

După moartea unui copil, Peloton emite un nou aviz de siguranță

Incidentul l-a determinat pe CEO-ul Peloton, John Foley, să scrie un e-mail clienților.

Citiți în continuare

Despre autor